carlos camacho comercio electronico

95
1 E-COMMERCE Dr.(c) Carlos A. Camacho

Upload: beatriz-rea

Post on 04-Jul-2015

5.817 views

Category:

Documents


8 download

TRANSCRIPT

Page 1: Carlos Camacho Comercio Electronico

1

E-COMMERCE

Dr.(c) Carlos A. Camacho

Page 2: Carlos Camacho Comercio Electronico

2

ÍNDICE GENERAL

CAPITULO I COMERCIO ELECTRONICO ENTRE EMPRESAS (BUSINESS TO BUSINESS) Pág. 5 1.Comercio Electrónico Pág. 5 1.1 .Marco Conceptual Pág. 6 1.2 Implicaciones y Estrategias Pág. 6 2. Business to Business Pág. 7 CAPITULO II COMERCIO ELECTRONICO ENTRE EMPRESAS Y CLIENTES (BUSINESS TO CONSUMER) Pág. 8 2.1 Business to Consumer Pág. 8 2.2 Ventajas del comercio electrónico B2C Pág. 9 2.3 Tipos de empresas en comercio electrónico B2C Pág.9 2.4 Modelos basados en la publicidad Pág.9 2.5 Modelos basados en la comunidad Pág.9 2.6 Modelos basados en tarifas Pág.10 2.7 Los retos que enfrenta B2C e-comercio Pág.10 CAPITULO III POLITICAS DE SEGURIDAD: PASARELAS DE PAGO Pág.11 3.1 Seguridad en los negocios electrónicos Pág.11 3.1.1 Amenazas a los negocios electrónicos Pág.12 3.1.2 Definición de Seguridad Pág.12 3.1.3 Creación de un ambiente seguro Pág.13 3.2 Plan de seguridad y control del negocio Pág.14 3.2.1 Aspectos de la seguridad Pág.16 3.2.1.1 Seguridad en los mensajes Pág.16 3.2.1.2 Seguridad en las comunicaciones Pág.18 3.2.1.3 Seguridad en los servidores Pág.18 3.2.2 Percepción por parte del usuario Pág.19 3.2.3 Estado actual del comercio electrónico por Internet Pág.20 3.2.4 Usar sitios seguros de Internet para las transacciones Pág.21 3.3 Tratamiento de datos personales Pág.21 3.3.1 Defensa y derechos del usuario Pág.22 3.4 Marketing y Publicidad Pág.23 3.4.1 Descripción del producto o servicio: prevención de errores de interpretación del usuario Pág.23 3.4.2 Normativa sobre publicidad Pág.23 3.5 Métodos de pago Pág.24 3.5.1 Tarjetas de crédito Pág.24 3.5.2 Tarjetas de Débito Pág.26 3.5.3 Pagos Off-line Pág.27 3.6 Atención al cliente Pág.29 3.7 ¿Qué es, cómo funciona y cuánto cuesta la implementación de la pasarela

de pago, el certificado de seguridad de IP fija en

Page 3: Carlos Camacho Comercio Electronico

3

un alojamiento web? Pág.30 3.8 Conclusiones Pág.32 CAPITULO IV AUDITORIA DE SEGURIDAD: NIVELES DE SEGURIDAD Pág.33 4.1 AUDITORIA INFORMATICA (AUD). Pág.33 4.1.1 Alcance de la Auditoría Informática Pág.35 4.1.2 Importancia de la Auditoría Informática Pág.35 4.1.2.1 Auditoría Informática de Producción o Explotación Pág.36 4.1.2.2 Auditoría Informática de Desarrollo de Proyectos Pág.36 4.1.2.3 Auditoría Informática de Sistemas Pág.37 4.1.2.4 Auditoría Informática de Comunicaciones y Redes Pág.37 4.1.2.5. Auditoría de la Seguridad Informática Pág.37 4.1.2.6. Auditoría Informática para Aplicaciones en Internet. Pág.37 4.2 Politicas de seguridad informatica (SEG) Pág.38 4.2.2 Elementos de una Política de Seguridad Informática Pág.39 4.2.3 Parámetros para Establecer Políticas de Seguridad Pág.39 4.2.4 Razones que Impiden la Aplicación de las Políticas de Seguridad Informática Pág.40 4.3 Privacidad en la red y control de intrusos Pág.40 4.3.1. Privacidad en la Red Pág.40 4.3.2 Definición de Privacidad de las Redes Pág.41 4.3.3 Requisitos para Mantener la Privacidad de las Redes Pág.41 4.3.4 Riesgos o Amenazas a la Privacidad de las Redes Pág.42 4.4 Detección de intrusos Pág.43 4.4.1 Factores que Propician el Acceso de Intrusos a la Redes y Sistemas Pág.43 4.4.2 Medidas para Controlar el Acceso de Intrusos Pág.44 4.4.3 Principales Actividades de los Intrusos o Piratas Informáticos Pág.44 4.5Virus y Antivirus Pág.45 4.5.1. Virus Pág.45 4.5.2 Definiciones Pág.45 4.5.3 Características Pág.46 4.5.4. ¿Quiénes hacen los virus? Pág.46 4.5.5 Síntomas Más Comunes de Virus Pág.47 4.5.6 Clasificación Pág.47 4.5.7 Ciclo de Infección Pág.48 4.5.8 Medidas de Protección Efectivas Pág.49 4.6 Antivirus Pág.49 4.6.1 Definición de Antivirus Pág.50 4.6.2 Los Antivirus Más Buscados Pág.50 4.6.3 Antivirus al Rescate Pág.51 4.6.4 Conozca Bien su Antivirus Pág.51 4.6.5 Importancia del Antivirus Pág.52 4.6.5.1 Controles Pág.52 4.5.6.2 Bloqueos Pág.53 4.7 Seguridad Pág.54 4.7.1 Seguridad de su Corre "e" Pág.54 CAPITULO V SOLUCIONES BASADAS EN CLAVE PUBLICA Pág.58

Page 4: Carlos Camacho Comercio Electronico

4

CAPITULO VI EQUIPOS CERT, TIGER, TEAMS Pág.59 6.1 Cert Pág.59 6.2 Tiger Versión 10.4: "Tiger" Pág.59 CAPITULO VII EMPRESAS QUE SE DEDICAN A LA SEGURIDAD DE LOS WEBS Pág.61 CAPITULO VIII TECNOLOGIAS PARA LA SEGURIDAD Pág.62 CAPITULO IX DEFINICIONES Y ESTRATEGIAS BASICAS DE MARKETING EN INTERNET Pág.66 9.1 ¿Qué se necesita para definir una buena estrategia de marketing? También en Internet. Pág.66 CAPITULO X MARKETING DIRECTO CON E-MAIL Y NEWSLETTERS Pág.68 10.1 Definición de Marketing Directo Pág.68 10.2 Marketing directo en el marketing mix Pág.68 10.3 ¿Cómo funciona el marketing directo? Pág.68 10.4 ¿Qué cuota de respuesta cabe esperar? Pág.69 10.5 Importancia del marketing directo Pág.69 10.6 E-mail Marketing Pág.70 10.7 NEWSLETTERS Pág.71 CAPITULO XI MARKETING VIRAL A TRAVÉS DE LA RED Pág.73 11.1 Marketing Viral en Internet: ¿Qué funciona en el Marketing Viral? Pág.73 CAPITULO XII ESTRATÉGIAS PARA MONTAR UN NEGOCIO EN LA RED. ANALISIS DE LAS DIFERENTES ETAPAS DE UN PROYECTO DE IMPLEMENTACION DE COMERCIO ELECTRONICO. Pág.76

ANEXOS Pág.80

BIBLIOGRAFIA Pág.94

Page 5: Carlos Camacho Comercio Electronico

5

COMERCIO ELECTRÓNICO

CAPITULO I COMERCIO ELECTRONICO ENTRE EMPRESAS (Business to Business)

1. Comercio Electrónico Definición Definido de una forma muy amplia e ideal, comercio electrónico o e-commerce es una moderna metodología que da respuesta a varias necesidades de empresas y consumidores, como reducir costes, mejorar la calidad de productos y servicios, acortar el tiempo de entrega o mejorar la comunicación con el cliente. Más típicamente se suele aplicar a la compra y venta de información, productos y servicios a través de redes de ordenadores. En los últimos tiempos el termino se presenta siempre como invariablemente ligado al desarrollo de Internet, se dice que la mensajería electrónica o e-mail fue el primer incentivo para que Internet se convirtiese en una herramienta habitual en la vida de mucha gente, y que el comercio electrónico podría ser ese segundo gran empujón que la red necesita para que su uso se convierta de verdad en algo general y cotidiano. Tomando de la definición el primer término, se habla de la compra y venta de información, productos y servicios. Esa primera clasificación podría resultar un tanto artificial: ¿no es acaso la información un producto o servicio como tantos otros? La distinción, en este caso, es debida al canal. El comercio electrónico es “completo”, o cubre todos sus estudios, cuando un producto puede ser localizado, comparado, pagado y obtenido a través de un medio electrónico como Internet, pongamos por caso la edición electrónica de este mismo periódico que esta usted leyendo: uno se conecta a la red, ve que oferta de periódicos hay, se decide por ABC, y lo lee. Todo el ciclo se ha desarrollado electrónicamente, y si hubiese habido un pago, también podría haberse realizado electrónicamente. Esto es posible porque el “producto” que ABC “vende” es información, y por tanto es reducible a bits, bits que almacenarán texto, imágenes, sonidos o vídeos, pero bits al fin y al cabo, susceptibles de ser transportados por una red electrónica. Pensemos, por contra, en una empresa de coches: uno puede conectarse a la red, ver que coches hay, decidirse por alguno, verlo, adaptarlo a sus preferencias, ponerle el color, la tapicería y los extras que quiera y ver cuanto le cuesta. Podría hasta pagarlo, pero en el momento final, alguien tendrá que moverse para ir a buscar el coche porque, nos pongamos como nos pongamos, un coche no es reducible a bits, sino a átomos. Esta dualidad de producto/bit o producto/átomo, idea de Nicholas Negroponte (cuyo libro “El Mundo Digital” es una lectura obligada para cualquiera que quiera iniciarse en estos temas) es la primera reflexión que toda persona que medite sobre el comercio electrónico debe hacerse. Los mercados electrónicos no son inaccesibles si nuestro producto no son bits, simplemente son distintos, y a efectos de cliente, mecanismos y diseños habrá que tenerlo en cuenta.

Page 6: Carlos Camacho Comercio Electronico

6

1.1 .Marco Conceptual Se asienta básicamente sobre dos pilares: por un lado, el marco legal, por ahora escasamente desarrollado, que dictará los aspectos de privacidad, seguridad y acceso a la información y, por otro, el marco tecnológico, los estándares técnicos para la transmisión de información, los medios o canales para transmitirla y sus limitaciones. Entre estos dos pilares fundamentales se asienta la necesidad de un sistema de prácticas habituales o “códigos de uso”, como esquemas de seguridad en las transacciones, autentificación, copyright, medios de pago electrónicos o uso de directorios y catálogos, o el desarrollo de sistemas de marketing adecuados a este nuevo canal. Características Para la empresa, los mercados electrónicos suponen una difusión de la información -y a veces del propio producto- sin prácticamente coste marginal alguno, es decir, no supone coste diferencial el hecho de que mi periódico en Internet lo lea yo sólo o lo lean cien millones de personas, porque no tengo que pagar un soporte físico -el papel- para mi información, me limito a ponerla ahí al alcance del público. Por otro lado, la definición de público objetivo puede cambiar bastante, puesto que mi producto puede, gracias a ese nuevo medio, ser accesible para mucha mas gente distribuída por todo el mundo y que accede a mi producto en igualdad de condiciones que el que tengo aquí a la vuelta de la esquina, sin coste adicional en el caso del producto bit o con el coste extra del transporte en el caso del producto átomo. Tengo que tener en cuenta también como me van a encontrar y a comparar: el tema de cómo me encuentran se soluciona normalmente con los llamados catálogos y con los motores de búsqueda, que localizan la información y la organizan para que el usuario la encuentre. Los catálogos son herramientas en su mayoría voluntarias, uno pone su página en Internet, y “avisa” a estos catálogos con el fin de aparecer en ellos. Los motores de búsqueda, en cambio, funcionan en su mayoría como programas robot (también llamados “arañas”) que circulan por la red, localizan páginas nuevas y las ordenan. Para ello se basan en su título, contenido, o en las llamadas meta-tags, palabras clave que el diseñador de la página decide incluir para hacer más fácil la localización. Las estrategias más típicas hoy en día incluyen la gestión cuidadosa de estas meta-tags, que deben incluir por supuesto el nombre de la empresa, el del producto, pero que también pueden incluir el de las principales empresas de la competencia (para aparecer al lado en la lista de resultados o “hits” cuando el usuario busca el producto), o trucos parecidos. De nada sirve tener una página maravillosa, de cuidado diseño y unos productos excelentes, si no hay manera de localizarme en la red, sería como poner la mejor de las tiendas en una calle desconocida en el extrarradio de un pueblo perdido. De ahí que la gestión de los motores de búsqueda y el registro en los catálogos tengan una importancia fundamental de cara al éxito del negocio. Otro tema relacionado es el de los llamados agentes, programas más o menos inteligentes que localizan el producto deseado y hasta hacen comparaciones para el usuario, normalmente en términos de precio. ¿Qué tipo de mercados va a provocar el

Page 7: Carlos Camacho Comercio Electronico

7

uso de estos agentes? Mercados en los que el coste de obtener información adicional es cero, y por tanto el cliente puede ver toda la oferta disponible antes de decidirse… lo mas cercano al “mercado de información perfecta” de los economistas… Si su empresa o su producto soportan bien este tipo de comparaciones, bien. Sino, piense estratégicamente en como evitar la comparación en base al frío precio y como ganar otros elementos de diferenciación que le hagan ser elegido cuando la comparación es inevitable. 1.2 Implicaciones y Estrategias Finalmente… ¿cómo gano dinero con ésto? ¿cómo cobro a estos “clientes virtuales” a los que nunca veo la cara? Básicamente se habla de dos esquemas: el primero es el llamado “micropago”, un sistema que permitiría a la empresa cobrarle a un cliente una cantidad de, pongamos, dos duros, de una manera económicamente eficiente. En el establecimiento de estos sistemas se dice que esta el futuro de las transacciones en la red, el beneficio vendría del volumen potencial frente al no-coste de poner ese artículo a su alcance. La otra estrategia, llamada “bundling”, o “lote”, consiste en incluir un lote grande de información y servicios y cobrar una tarifa plana por acceder a ella, independientemente de a que información acceda el usuario. Es una estrategia típica de empresas como America Online, tristemente famosa últimamente por sus problemas de sobrecarga, o Compuserve, con una mezcla de tarifa plana y pago por uso que se esta demostrando bastante eficiente. En muchos casos el tema ya no es ganar más dinero gracias a los ahorros obtenidos, sino trasladar esos ahorros al consumidos abaratando el producto, incentivando al consumidor que compra por vía electrónica, como hacen Delta o America Airlines. En cuanto a la seguridad… si, es un tema importante… pero sobrevalorado. En el fondo, los seguros que conllevan las propias tarjetas de crédito nos cubren contra bastante de su potencial uso fraudulento, y los protocolos de encriptación y servidores seguros nos protegen cada vez mejor… Aunque hoy pueda ser un problema, a mi juicio no mayor que el que supone caminar por una calle con dinero a la vista, es un problema que sin duda se solucionará. No deje de plantearse un mercado como este por una consideración semejante. 2. Business to Business B2B - Negocio a Negocio (Business to Business) Empresas que hacen negocios entre ellas. Por ejemplo los fabricantes que les venden a distribuidores y los mayoristas que venden a detallistas. Aquí el precio se basa en el volumen y es a menudo negociable.

Page 8: Carlos Camacho Comercio Electronico

8

CAPITULO II COMERCIO ELECTRONICO ENTRE EMPRESAS Y CLIENTES (BUSINESS TO CONSUMER) 2.1 Business to Consumer B2C - Negocio a Consumidor (Business to Consumer) Negocios que le venden al público en general, típicamente por medio de catálogos y tiendas en línea. Este modelo es el que la mayoría de la gente tiene en mente cuando se trata de comercio electrónico. ¿Tienes problema para encontrar un libro específico?, ¿Necesitas comprar una computadora sobre medida? ¿Deseas comprar un viaje a una isla tropical? Con el advenimiento del comercio electrónico, estas 3 cosas pueden comprarse en minutos, prácticamente sin intervención humana.

B2C se refiere a la estrategia que desarrollan las empresas comerciales para llegar directamente al cliente o usuario final.

Un ejemplo de transacción B2C puede ser la compra de un par de zapatos en una zapatería de barrio, por un individuo. Sin embargo, todas las transacciones necesarias para que ese par de zapatos esté disponible para la venta en el establecimiento comercial —compra de la piel, suela, cordones, etc. así como la venta de zapatos del fabricante al comerciante— forman parte de lo que se llama B2B o Business-to-Business («de negocio a negocio», en inglés).

A pesar del sentido amplio de la expresión B2C, en la práctica, suele referirse a las plataformas virtuales utilizadas en el comercio electrónico para comunicar empresas (vendedoras) con particulares (compradores). Por eso, el uso más frecuente es «Comercio electrónico B2C»

Los pioneros de esta estrategia B2C son: la empresa fabricante de ordenadores personales Dell y el mayorista, también estadounidense, de libros, música y otros productos Amazon.com.

El comercio electrónico B2C también llamado Bajas Calorías es una forma de venta con gran potencial a largo plazo; en la actualidad, lo están desarrollando los sectores de distribución de artículos de alimentación y consumo. Así, las grandes cadenas de distribución: supermercados, hipermercados, grandes almacenes ya disponen de portales propios para la venta a través de Internet.

B2C también se aplica a instituciones financieras y cualquier otro tipo de empresa que establezca relaciones comerciales directas con sus clientes a través de Internet.

Page 9: Carlos Camacho Comercio Electronico

9

El éxito de las transacciones electrónicas B2C depende de la fiabilidad de los sistemas de pago, que suelen ser a través de tarjetas de crédito, en otros casos se posibilitan otras formas de pago como contra reembolso, en efectivo o la utilización de servicios proporcionados por otras empresas como PayPal. En Colombia, una forma de pago adicional a las tarjetas de crédito es el débito on-line de las cuentas de ahorro y corrientes directamente en las entidades bancarias.

2.2 Ventajas del comercio electrónico B2C

Se pueden destacar las siguientes ventajas:

• La compra suele ser más rápida y más cómoda. • Las ofertas y los precios están siempre actualizados. • Los centros de atención al cliente están integrados en la web. • Las telecomunicaciones por banda ancha han mejorado la experiencia de compra

2.3 Tipos de empresas en comercio electrónico B2C

Intermediarios on-line

Los intermediarios on-line son compañías que facilitan las transacciones entre compradores y vendedores, como contraprestación económica reciben un porcentaje del valor de la transacción. La mayoría de las transacciones se realizan a través de estos intemediarios, que pueden ser brokers o «informediarios», genéricos o especializados, respectivamente.

2.4 Modelos basados en la publicidad

En una publicidad basada en el sistema, las empresas tienen sitios web de un inventario, que venden a las partes interesadas. Existen dos filosofías rectores para esta práctica: de alto tráfico o de nicho. Los anunciantes tienen un alto tráfico de enfoque al intentar llegar a un público más amplio. Estos anunciantes están dispuestos a pagar una prima por un sitio que puede ofrecer un número elevado, por ejemplo, anuncios en Yahoo! o Google. Cuando los anunciantes están tratando de llegar a un grupo más pequeño de compradores, se llevan a un nicho. Estos compradores están bien definidos, claramente identificados, y deseable. El nicho de enfoque se centra en la calidad, no cantidad. Por ejemplo, un anuncio de WSJ.com en el que principalmente quieren ser vistos por la gente de negocios y ejecutivos.

2.5 Modelos basados en la comunidad

En una comunidad basada en el sistema, las empresas permiten a los usuarios en todo el mundo el acceso a interactuar unos con otros sobre la base de áreas similares de interés. Estas empresas ganan dinero por medio de la acumulación leales usuarios y la orientación con la publicidad.

Page 10: Carlos Camacho Comercio Electronico

10

2.6 Modelos basados en tarifas

En un sistema de pago basado en el sistema, una empresa cobra una tarifa de suscripción para ver su contenido. Existen diversos grados de restricción de contenidos y tipos de suscripción que van desde las tasas a tanto alzado a pay-as-you-go.

2.7 Los retos que enfrenta B2C e-comercio

Los dos principales desafíos que enfrenta B2C de comercio electrónico son la creación de tráfico y el mantenimiento de la fidelidad de los clientes. Debido al ganador se lo lleva todo la naturaleza de la estructura B2C, muchas pequeñas empresas tienen dificultades para entrar en un mercado y seguir siendo competitivos. Además, los compradores en línea son muy sensibles al precio y son fácilmente atraídos lejos, por lo que la adquisición y mantenimiento de nuevos clientes es difícil.

Un estudio de las principales empresas B2C de McKinsey encontró que: Arriba los artistas intérpretes o ejecutantes tienen más de tres veces más de visitantes únicos al mes a más de la mediana. Además, la parte superior intérprete había 2500 veces más visitantes que el peor intérprete. Arriba los artistas intérpretes o ejecutantes tenía un 18% el porcentaje de conversiones de usuarios nuevos, el doble que la de la mediana. Arriba los artistas intérpretes o ejecutantes tienen un ingreso por operación de 2,5 veces la mediana. Arriba los artistas intérpretes o ejecutantes tuvo un margen bruto promedio de tres veces la mediana. No hubo diferencias significativas en el número de transacciones por cliente y el coste de adquisición de visitantes. En esencia, estos maestros de B2C de comercio electrónico (Amazon, etc) permanecen en la parte superior a causa de una comunicación eficaz y el valor para el cliente.

Page 11: Carlos Camacho Comercio Electronico

11

CAPITULO III POLITICAS DE SEGURIDAD: PASARELAS DE PAGO 3.1 Seguridad en los negocios electrónicos Aspectos Legales En materia de comercio a través de Internet, existen variados problemas que pueden surgir. Muchos de ellos aún no están legislados, y no hay pautas claras a seguir. Los conflictos más urgentes a resolver, tienen relación con: - la formación del consentimiento, - la seguridad acerca de la identidad de los contratantes y - la prueba de las obligaciones. En cuanto a la formación del consentimiento, se requiere de un sistema que, por lo menos dé seguridad en cuanto: a la identidad de la persona que envió el mensaje, a la integridad del mismo, incluyendo que éste no haya sido alterado, o sea la denominada "no-repudiación". Es decir, que el emisor del mensaje no pueda desconocer haberlo enviado y que el destinatario del mismo no pueda desconocer haberlo recibido y, por último, a la confidencialidad del mensaje, es decir, que sólo pueda ser reconocido por el emisor y el destinatario. Otras materias que surgen como consecuencia del comercio, son: - la legislación aplicable al acto o contrato específico - los tribunales competentes - la seguridad de los medios de pago - las consecuencias fiscales del comercio electrónico: como la aplicación de derechos aduaneros cuando se traduce en la importación de bienes y de impuestos, en los casos que corresponda. Sucede que en la Red un cliente puede estar en un país, la empresa en otro, y el servidor en otro. Pueden surgir problemas entre cliente y vendedor como: malas entregas, clientes que no pagan, envíos no pedidos; etc. Los reglamentos legales a utilizarse en estos casos son los del país donde se encuentra el vendedor, aunque el reclamo generalizado de los clientes, es que se utilice el marco legal del país donde se realiza la compra. Igualmente surgen y surgirán situaciones nuevas de conflicto que no están contempladas. Sucede que algunas afirmaciones válidas para una región no lo son para otras. En todos los casos, conviene consultar a un letrado de la región geográfica específica. Las distintas legislaciones, han comprendido que el instrumento tecnológico más confiable en esta materia lo constituye la firma digital, que contiene un sistema criptográfico que, por medio de claves públicas y privadas, permite a las partes cifrar un determinado mensaje con una clave y descifrarlo con otra. En el ámbito internacional, cabe destacar en esta materia la Ley Modelo sobre Comercio Electrónico de la de la Comisión de las Naciones Unidas para el Derecho del Comercio

Page 12: Carlos Camacho Comercio Electronico

12

Internacional (UNCITRAL), que regula las firmas y documentos electrónicos y que otorga a los mensajes digitales el mismo valor que a los documentos impresos en papel. La UNCITRAL ha recomendado a los países, incorporar las normas de dicha Ley Modelo, con el objeto de facilitar y dar seguridad a las relaciones jurídicas electrónicas. Varios países han adoptado o están estudiando leyes en conformidad a dicha recomendación. 3.1.1 Amenazas a los negocios electrónicos Como todo fenómeno social, el e-commerce no está exento de posibles repercusiones negativas. Una de ellas, es que sus beneficios se conviertan en una fuente de marginación social. Una amenaza significativa para su futuro desarrollo viene de la falta de seguridad para las transacciones. Para comerciar en Internet en forma segura, es necesario encriptar la información enviada a través de la red, utilizando códigos de identificación personalizada. Por ahora la sustitución del trato personal y directo, característica esencial del comercio tradicional, por uno distante e impersonal, como el que supone el e-commerce, plantea a empresas y consumidores múltiples interrogantes, respecto a la seguridad de las formas de pago, la validez de los contratos y las atribuciones de las distintas instancias, nacionales e internacionales, para solucionar posibles disputas mercantiles. También es común la resistencia de los usuarios a proporcionar información personal, como dirección, número telefónico e ingresos, ante el temor de que un manejo inapropiado de esta información comprometa a su privacidad. En gran medida los riesgos y temores asociados con el uso del e-commerce son consecuencia directa del desafío que plantea, para las prácticas y la lógica habituales de empresarios, consumidores y gobiernos, la irrupción de un nuevo modelo de negocios. No se debe perder de vista que el mundo de lo técnicamente posible es mucho más amplio que el de lo socialmente aceptable. 3.1.2 Definición de Seguridad Se define como la protección contra riesgos, o las medidas que se pueden tomar contra el espionaje, el sabotaje, el ataque o el delito. En el caso de comercio electrónico, la seguridad es un aspecto muy importante, ya que el consumidor debe sentir confianza al momento de realizar una transacción electrónica, de que sus datos no serán utilizados para otros fines para los que él, específicamente, dio su consentimiento. Para lograr dicha confianza en el cliente, son importantes los siguientes aspectos:

• Disponibilidad: es la característica que asegura que los recursos del sistema y la información estarán disponibles a los usuarios autorizados, siempre que éstos los necesiten.

• Integridad: involucra la protección de los datos almacenados o en tránsito contra toda modificación.

Page 13: Carlos Camacho Comercio Electronico

13

• Autenticación: es la capacidad de un individuo o entidad de probar su identidad electrónicamente.

• Autorización: implica el control de acceso a determinada información para usuarios autenticados.

• Confidencialidad: es la característica que asegura que las personas no tienen acceso a los datos, a no ser que estén autorizadas para conocerlos.

• No repudio: el emisor de un mensaje no puede negar haberlo enviado. Garantizar la seguridad en el comercio electrónico es un pre-requisito fundamental, antes de que cualquier actividad comercial sensible a la información pueda llevarse a cabo. Involucra diferentes métodos y políticas; y en un ambiente comercial, incluye aparte de las transacciones financieras, a la información privada de la corporación, la cual debe ser resguardada debidamente. Algunas de las potenciales amenazas y ataques, a los cuales, son susceptibles las actividades comerciales a través de redes públicas son:

• Acceso no autorizado a recursos de red. • Destrucción de información y de recursos de red. • Alteración, inserción o modificación de información. • Conocimiento de información por personas no autorizadas. • Interrupciones o disrupciones en los servicios de red. • Robo de información y/o recursos de red. • Negación de servicios recibidos y/o de información enviada o recibida. • Alegación/afirmación de haber enviado o recibido información no suministrada.

3.1.3 Creación de un ambiente seguro Hay varios requerimientos para la creación de un ambiente seguro en e-commerce. Son la base de la seguridad y todos se relacionan entre sí. Se pueden dividir en: • Autenticación: es la habilidad de un individuo, organización o computadora, de probar su identidad. Las partes involucradas deben saber que están haciendo los negocios con quien ellos creen. Los sistemas de seguridad logran la autenticación, verificando información que el usuario provee, contra la que el sistema ya conoce del usuario en cuestión. Los métodos de autenticación pueden estar basados en los siguientes factores: - Demostración del conocimiento de algún tipo de información, como por ejemplo: una password. - Posesión de alguna clase de objeto, como una key o una card. - Demostración de alguna característica biométrica, como las impresiones digitales. - Evidenciar que ya, un tercero que es confiable, ha validado la identidad. Estos factores se suelen utilizar en combinación. Algunos de los métodos más comunes son, como se dijo antes, las passwords, los números de identificación personal (PINs), firmas digitales y certificados. • Autorización: implica el control de acceso a una determinada información, una vez que ya se ha validado la identidad del usuario. Se trata de limitar las acciones que puedan tener los diferentes usuarios autenticados, basados en varios niveles.

Page 14: Carlos Camacho Comercio Electronico

14

La autorización abarca mecanismos de control de acceso a: entidades de red, recursos de red y derechos de acceso. Estos últimos describen los privilegios o permisos de la entidad, y bajo qué condiciones esa entidad puede acceder a un recurso de red, y de qué forma están habilitados a acceder. Estos privilegios los puede controlar un usuario o administrador empleando una lista de control de accesos (access control list – ACL), en la cual se detallan recurso por recurso, los permisos de cada usuario autenticado. La autorización también se relaciona con las publicaciones y la protección de los derechos intelectuales. • Confidencialidad: tiene que ver con la reserva o confidencia de los datos o información, y la protección de accesos no autorizados, a dicha información. En E-Commerce, la confidencialidad es de suma importancia para resguardar la información financiera de la compañía, información de desarrollo de productos, estructuras de organización, etc. Para adecuar las distintas necesidades, deben incluirse políticas relativas a la circulación de información, las cuales determinarán, no sólo si un objeto puede o no librarse, sino también de qué manera se lo hará; por ejemplo: Encriptación, la confidencialidad debe asegurar que la información no pueda ser leída, copiada, modificada o divulgada, sin la propia autorización, y que las comunicaciones a través de redes no serán interceptadas. Para satisfacer estos requisitos se diseñan técnicas de encriptación basadas en criptografía. • Integridad: abarca la protección de los datos en tránsito o almacenados contra toda modificación (altas, bajas, modificaciones o reordenamientos de los datos). Los sistemas de comercio electrónico deberán tener la capacidad de garantizar que los datos que se transmiten por una red sean recibidos en su destino en las mismas condiciones en que fueron enviados. • No repudio del origen: trata de la protección contra una parte, que en una transacción o comunicación luego intenta negar (falsamente), que la transacción ocurrió. Los servicios de no repudio del origen deben poder demostrar a una tercera parte, la prueba del origen, entrega, cesión y transporte de la información en cuestión. La necesidad de este tipo de servicios refleja las imperfecciones de los ambientes de comunicaciones, ya sea por red o no. 3.2 Plan de seguridad y control del negocio La administración de la seguridad implica: el control de la confiabilidad en las transacciones digitales, como la fijación y cumplimiento de normas de seguridad para garantizar que los requisitos de los servicios de seguridad pueden lograr sus objetivos. No se trata de un aspecto adicional al comercio electrónico, sino más bien que es uno de los aspectos que más influyen para su correcto funcionamiento. Los consumidores, entendiblemente, evitan aquellos sitios en los cuales saben o intuyen que la información que provean no será manipulada confidencialmente, así como escaparán de compañías que no adopten medidas de seguridad para proteger su propia base de datos.

Page 15: Carlos Camacho Comercio Electronico

15

Para destacar esta necesidad de controles de negocio en sistemas de comercio electrónico seguro, los resultados que mostraron las encuestas realizadas por Ernst & Young LLP, el FBI y el Computer Security Institute (CSI), es que un 46 por ciento de los sitios corporativos de Internet creados en los últimos años, ya han quebrado. Las políticas de seguridad son generalmente un conjunto de reglas que definen el alcance y tipo de medidas de seguridad que se usarán en su estrategia de e-commerce. Por ejemplo, la norma de seguridad puede listar las posibles amenazas de las que deberían protegerse los recursos de red, y los métodos y niveles de protección que se pondrían en práctica. Por otra parte, una política de seguridad debería definir los límites de comportamiento aceptable del sistema, determinar las acciones que se deberían llevar a cabo cuando ocurriera algún tipo de violación a la seguridad, y también, especificar los protocolos y permisos a usarse en ese sistema de seguridad. El plan de acción de seguridad puede clasificarse según distintos componentes: 1) políticas de responsabilidad: deben determinar dos procedimientos principales, que son: el establecer qué entidades deben autenticar su identidad, y establecer un path (camino) de procedimiento confiable. Esto conlleva el determinar qué paths de comunicación se deberían usar entre dos entidades autenticadas en el sistema, así como los tipos o acciones permitidas en los mismos. 2) políticas de control de acceso: deberán decidir qué entidades dentro del sistema deben ser controladas, así como los privilegios de las mismas. 3) políticas de confidencialidad de los datos: establecerán los tipos y alcances de los procedimientos de protección de divulgación de la información, así como los mecanismos de encriptación punta a punta que se utilizarán. 4) políticas de integridad de los datos: se refieren al tipo y alcance de los mecanismos de protección de los datos contra modificaciones. Todos estos mecanismos deben ser controlados por medio de auditorías y análisis de riesgos. Una auditoria de seguridad en e-commerce incluye registrar y reportar todos los eventos que ocurran en la red que tengan relevancia para la seguridad. Este proceso se lleva a cabo por etapas: - La recopilación y organización de información de auditorías, la cual puede estar en varios formatos por haber sido recogidas de servidores diferentes. Determinar la importancia y uso de los datos; clasificación y filtrado de información. - Luego, según el caso, determinar si se necesitan procedimientos de recuperación por violaciones de la seguridad. Las auditorias de la seguridad en e-commerce son un componente esencial de los controles del negocio en sí mismo. Un ejemplo conocido: un empleado de banco puede

Page 16: Carlos Camacho Comercio Electronico

16

maliciosamente ir deduciendo de las cuentas de los clientes fracciones de centavos, lo cual por ser tan aparentemente insignificante, que podría pasar desapercibido por los contadores. Los controles de auditoria son métodos muy efectivos para casos como éste. Dependiendo de la situación y aplicación, los controles pueden ser llevados a través de los campos legales, técnicos, contractuales, etc., conforme a guías bien establecidas, procedimientos, normas, prácticas y estandares. 3.2.1 Aspectos de la seguridad La seguridad en el e-commerce se debe dar en cuatro aspectos: • seguridad del lado del cliente. • seguridad en los mensajes. • seguridad en las comunicaciones. • seguridad en los servidores. La seguridad del lado del cliente es un concepto general que es aplicable a cualquier uso de Internet. Para el comercio electrónico nos enfocaremos en las transacciones y el servidor. 3.2.1.1 Seguridad en los mensajes Internet es, en su forma más rudimentaria, una infraestructura de comunicación entre computadoras. La seguridad en ella, es algo difícil de implementar a bajo nivel; ya que el tránsito de la información a través de distintas redes hace imposible asegurar un camino confiable e inviolable por parte de terceros para la comunicación entre dos equipos. Por ello, dicha comunicación debe ser protegida en otros niveles, procurando compensar la inseguridad del canal de transmisión con seguridad en el mensaje mismo transmitido. Las maneras de proveer al mensaje transmitido con la confiabilidad, integridad y autenticación necesarias son varias:

• Encriptación de mensajes: la encriptación de mensajes se refiere a la codificación de un mensaje mediante el uso de una clave. Mediante la encriptación se cumple el requisito de confidencialidad de la información.

Las claves a utilizar para codificar y decodificar mensajes pueden ser: - iguales: tanto el emisor como el receptor utilizan la misma clave. Esto implica que la clave sólo es conocida por ellos (es “privada”) y plantea la necesidad de hacerla conocida de manera segura por ambas partes; además, no permite identificar quién es el emisor de un mensaje, ya que la misma clave es utilizada para encriptar y desencriptar en ambos extremos de la comunicación. - distintas: el emisor de un mensaje lo encripta utilizando una clave “pública”, no secreta, perteneciente al receptor, quien es el único que lo puede descifrar con una clave “privada” conocida solamente por él; de esa manera se asegura que solamente el receptor deseado pueda desencriptarlo. La clave privada y la pública son independientes, no se puede deducir una de la otra.

Page 17: Carlos Camacho Comercio Electronico

17

El nivel de protección que ofrecen las claves es proporcional a su longitud, la cual se mide en bits; a medida que mejora la tecnología y la velocidad de procesamiento, la longitud de las claves aumenta, ya que se hace más sencillo obtener la clave por el método de “fuerza bruta”, es decir, prueba y error.

• 2) Firma digital y Certificados digitales: sirven para verificar la identidad del emisor de un mensaje y para comprobar que éste no haya sido modificado, desde que fue enviado. De esta manera se logra asegurar la autenticación e integridad de la información transmitida, además de impedir el repudio de origen de la misma.

Las Firmas Digitales son métodos de cifrado que tienen dos propósitos: - Validar el contenido de un mensaje electrónico, y que se puede utilizar posteriormente para comprobar que un emisor envió de hecho ese mensaje. - Probar que no se ha falsificado un mensaje durante su envío. Las firmas digitales respaldan la autenticidad del correo electrónico, transacciones de contabilidad, órdenes de empresa,documentos para grupos de trabajo y otros mensajes y archivos que se trasladan entre sistemas, usuarios u organizaciones. Las firmas digitales se basan en el hecho de que dos grupos pueden autentificarse el uno al otro para le intercambio seguro de documentos, pero la relación entre ellos no se basa en una confianza total. Por ejemplo, una persona podría enviar un mensaje para apostar a un caballo de carreras y después, si el caballo pierde la carrera, negar haber enviado dicho mensaje. Aunque se sabe a través del proceso de autentificación que esta persona realmente envió ese mensaje, sin una firma digital no se podría probar técnicamente que el mensaje no se modificó. El emisor podría decir, "sí, yo le mandé un mensaje, pero usted lo cambió". Las firmas digitales autentifican los mensajes y se usan para validar compras, transferencias de fondos y otras transacciones de negocios. Un formulario con una firma digital debe incluir el nombre del emisor, la fecha y hora, junto con una secuencia numérica o identificación que identifique positivamente a la persona o a la transmisión. La seguridad de una firma digital, como otros métodos de cifrado, se basa en un algoritmo matemático que asegura que dos firmas nunca son iguales. Imagina el tiempo que llevaría desbloquear los modernos códigos de cifrado generados por las computadoras y que durante décadas han utilizado las supercomputadoras. De hecho, los mejores sistemas de seguridad están bajo el "ataque" constante de los expertos en este tema. El certificado digital se usa para “firmar” mensajes. Una persona malintencionada podría generar y utilizar un certificado diciendo ser otra persona. Para evitar eso existen las denominadas “Autoridades de Certificación” que son confiables. Dichas autoridades, empresas privadas, pueden certificar otras firmas digitales por una tarifa. Los certificados que están avalados por una autoridad certificante “heredan” su nivel de confianza.

Page 18: Carlos Camacho Comercio Electronico

18

3.2.1.2 Seguridad en las comunicaciones Aunque es imposible controlar el transporte de un mensaje en Internet, sí se puede impedir que usuarios hostiles se puedan conectar a la red de una empresa que ofrece servicios de e-commerce y copiar, modificar o eliminar información importante y confidencial. La manera más común de impedir el acceso a una red es mediante el uso de un firewall. Éste es un equipo o un software, cuya función es filtrar los posibles accesos desde Internet a la red de la empresa, permitiendo sólo ciertas conexiones o la utilización de ciertos servicios únicamente. La información transmitida a través de Internet puede ser codificada mediante protocolos seguros que aprovechen algunas de las técnicas de encriptación descriptas anteriormente. Para realizar conexiones seguras a equipos remotos se puede utilizar algunos de los siguientes protocolos: - SSL (Secure Sockets Layer): es un protocolo que utiliza claves públicas y privadas para la autenticación, encriptación de mensajes e integridad de los mismos. Para cada una de estas funciones se usan pares de claves distintas, lo que le da seguridad adicional; sin embargo, esto también ocasiona que las comunicaciones se vuelvan más lentas por el tiempo adicional que requiere codificar y decodificar los mensajes. - SHTTP (Secure Hypertext Transfer Protocol): este protocolo es una derivación del HTTP, un protocolo utilizado para navegar por Internet, que tiene características de seguridad adicionales. Los mensajes de correo también pueden ser codificados utilizando alguno de estos protocolos: - PGP (Pretty Good Privacy): utiliza claves públicas y privadas para encriptar la información. A diferencia de las otras implementaciones, las claves PGP no tienen fecha de vencimiento, por lo que, si se descubre la clave de una persona, se podrá utilizar la misma por tiempo indefinido. - S/MIME (Secure Multipurpose Internet Mail Extensions): este protocolo es una extensión del MIME, y al igual que PGP utiliza claves públicas y privadas. 3.2.1.3 Seguridad en los servidores Los servidores, es decir, los equipos que proveen los servicios de e-commerce, deben ser protegidos contra ataques externos e internos y contra caídas en el sistema. Los sistemas críticos que hay que proteger son: - los servidores de Internet. - las aplicaciones propiamente dichas. - las bases de datos. Cada uno de estos puntos daría para escribir un libro entero, por lo que nos dedicaremos a destacarlos puntos más importantes a tener en cuenta:

Page 19: Carlos Camacho Comercio Electronico

19

Es muy importante impedir el acceso no autorizado a recursos internos. Esto se logra mediante: - Firewalls - permisos de usuario - y especialmente la correcta configuración de los servicios. Constantemente se están descubriendo nuevas fallas de seguridad en servidores web, aplicaciones y motores de bases de datos; es conveniente tener siempre al día el software que se utilice, instalando todos los parches necesarios. En el caso de las aplicaciones desarrolladas internamente por la empresa, se debe tener mucho cuidado de realizar las verificaciones necesarias para impedir la presencia de errores en los programas, que provoquen brechas de seguridad o fallas en los servicios. 3.2.2 Percepción por parte del usuario Un negocio debe implementar políticas de seguridad para proteger contra riesgos sus iniciativas. Existen mecanismos robustos que soportan los requerimientos de seguridad, pero todavía hay un desafío que falta cubrir para el comercio electrónico. El elemento faltante es la confianza. En el mundo de los negocios más allá del comercio electrónico, los niveles de confianza están implícitos en actividades y transacciones de forma tan obvia, que no son siquiera tomados en cuenta, y los mecanismos utilizados se presentan de forma casi transparente. Esto no sucede en el comercio electrónico, siendo muy importante la percepción del usuario y su confianza para el futuro de este tipo de negocios. Crear y mantener esta confianza implica, más que definir requerimientos de seguridad, verificar que todos los componentes de la parte técnica cumplan con los requerimientos. En un ambiente digital, definir los elementos que caractericen la confianza puede ser muy complejo, están muy relacionados con requisitos de autorización. La falta de confianza puede tener como consecuencia la denegación de la autorización necesaria. Sin embargo, establecer la confianza puede ser más complicado aún, ya que una percepción individual de confianza sobre un problema en particular puede depender de cómo la situación se desenvuelva. Para un ambiente de comercio electrónico, es imperativo crear un sistema que otorgue los servicios de autorización basados en un análisis de decisión en el momento. La confianza en un sistema solamente puede ser determinada adecuadamente analizando al sistema como un todo en lugar de hacerlo en partes individuales. Se recomienda una lista de medidas de seguridad que un sistema debe implementar para maximizar la confianza, que son:

• Comparar el software sin costo o de bajo costo con los riesgos que su uso involucra. Utilizar productos de empresas confiables que implementen los controles de calidad apropiados puede reducir los riesgos.

Page 20: Carlos Camacho Comercio Electronico

20

• Prestar especial atención a la protección en ambientes que contengan software crítico. La captura de información es de suma importancia para un análisis posterior de problemas de seguridad y para las auditorías de los sistemas.

• El software es generalmente más susceptible a ser poco confiable que el hardware, ya que es más fácil de modificar y más propenso a las fallas. Por esta razón, se deberían utilizar componentes de software reconocidos para funciones críticas.

La confianza en los sistemas de comercio electrónico está estrechamente relacionada con la privacidad. Los negocios que definen sus políticas de seguridad y las publican en sus sitios web se ven recompensados con un mayor nivel de confianza por parte de los usuarios, que saben qué información se está obteniendo de ellos y qué uso se le está dando. 3.2.3 Estado actual del comercio electrónico por Internet Actualmente, muchas de las empresas que venden productos por Internet le comunican al comprador, antes de comenzar a llenar la orden de compra, que el procedimiento que se va a realizar cuenta con un mecanismo de seguridad, que por lo general es de encriptación. También, desde hace unos meses, las páginas Web de algunas empresas muestran su aval de certificación. La certificación de los usuarios es un proceso que está menos avanzado, pero seguramente terminará imponiéndose como requisito para efectuar determinadas operaciones en Internet. La alternativa al uso del número de las tarjetas de crédito en las transacciones comerciales por Internet es el dinero electrónico, pero pasará un tiempo hasta su implementación definitiva y global. Internet Explorer utiliza dos tipos distintos de certificados: El "certificado personal" garantiza que usted es quien dice ser. Esta información se utiliza cuando envía información personal a través de Internet a un sitio Web que requiere un certificado que compruebe su identidad. El "certificado de sitio Web" declara que un determinado sitio Web es seguro y genuino. Asegura que ningún otro sitio Web puede suplantar la identidad del sitio seguro original. ¿Cómo funciona un certificado de seguridad? Un certificado de seguridad, ya sea personal o de sitio Web, asocia una identidad a una "clave pública". Sólo el propietario conoce la correspondiente "clave privada" que le permite "descifrar" o crear una "firma digital". Al enviar un certificado a otras personas, está dándoles en realidad su clave pública, de forma que puedan enviarle información cifrada que sólo usted podrá descifrar y leer mediante su clave privada.

Page 21: Carlos Camacho Comercio Electronico

21

El componente de firma digital de un certificado de seguridad es su tarjeta de identidad electrónica. La firma digital indica al destinatario que la información procede realmente de usted y que nadie la ha falsificado ni suplantado. Antes de iniciar el envío de información cifrada o firmada digitalmente, debe obtener un certificado y configurar Internet Explorer para utilizarlo. Cuando visite un sitio Web seguro (los que empiezan por "https"), el sitio le enviará automáticamente su certificado. ¿Dónde puede obtener sus propios certificados de seguridad? Los certificados de seguridad los emiten entidades emisoras de certificados independientes. Hay varios tipos de certificados de seguridad, cada uno de los cuales proporciona un grado diferente de credibilidad. Puede obtener su propio certificado de seguridad personal de una entidad emisora de certificados (este sitio Web está en inglés). Para ver certificados de seguridad: En el menú Herramientas de Internet Explorer, haga clic en Opciones de Internet. Haga clic en la ficha Contenido. En el área Certificados, haga clic en los botones Certificados o Compañías para ver la lista de certificados en los que confía. 3.2.4 Usar sitios seguros de Internet para las transacciones Muchos sitios de Internet están configurados para evitar que personas no autorizadas vean los datos enviados a esos sitios o desde ellos. Reciben el nombre de sitios "seguros". Como Internet Explorer es compatible con los protocolos de seguridad utilizados por los sitios seguros, puede enviar información a un sitio seguro con total seguridad y confianza. Cuando visita un sitio Web seguro, éste le envía automáticamente su certificado e Internet Explorer muestra un icono de cerradura en la barra de estado. Si va a enviar información (como el número de su tarjeta de crédito) a un sitio no seguro, Internet Explorer puede advertirle de que el sitio no es seguro. Si el sitio afirma ser seguro pero sus credenciales de seguridad son sospechosas, Internet Explorer puede advertirle de que el sitio puede estar intervenido o desvirtuado. 3.3 Tratamiento de datos personales Los organismos internacionales con competencia en la materia, entienden la necesidad de establecer normas tendientes a obtener una regulación uniforme de sus efectos jurídicos. Entre los derechos que se intentan resguardar está, el derecho a la intimidad o, más ampliamente, a la privacidad, concepto formado por un conjunto de facetas de la personalidad del individuo que, coherentemente enlazadas entre sí, arrojan un retrato del mismo, que éste, tiene derecho de mantener reservado.

Page 22: Carlos Camacho Comercio Electronico

22

Esto es, por ejemplo, lo que sucede con los sistemas de puntos de las tarjetas de crédito, en los que queda registrado todas las operaciones realizadas, fecha y lugar de las mismas; de modo que puede servir para establecer un perfil del titular y, de hecho, son usados por las fuerzas de seguridad para localizar a un sospechoso. En Internet, se pueden recoger datos de diversas maneras, entre ellas, mediante el uso de cookies, pequeños archivos de datos que se generan a través de las instrucciones que los servidores webs envían a los programas navegadores (Explorer, Netscape), y que se guardan en un directorio específico de la pc del usuario. Este, tiene la posibilidad de desactivarlas mediante la correspondiente opción de su navegador, sin prejuicio de que esto pueda afectar el buen funcionamiento de la página en cuestión. Por otra parte, los datos también pueden ser obtenidos mediante la cumplimentación de un formulario en Internet, ya sea para suscribirse a un determinado servicio, introducir los datos para el abono de un bien o servicio o, simplemente, para la participación en un chat. Otros medios utilizados para obtener un perfil certero del usuario, son las aplicaciones que se instalan en el navegador, y desafortunadamente, en ese sentido existe una gran desprotección por cuanto el usuario no es consciente en este seguimiento. Como ejemplo, podemos citar que en Estados Unidos ya se descubrió a una empresa famosa que ofrecía la personalización de cursores con formas divertidas, con el propósito de registrar todos los movimientos del usuario, y esos datos se facilitaban a empresas de marketing. 3.3.1 Defensa y derechos del usuario Ante las múltiples formas que existen para recabar datos personales en Internet, ¿cuáles son los medios de defensa de los que dispone el usuario?. En este sentido distinguiremos dos ámbitos de protección: • el genérico, que son los medios disponibles por todo internauta en la Red, • y otro específico que hace referencia a la protección legal vigente en el país. Una vez que los datos del usuario han sido recabados por parte de alguna empresa, reviste gran trascendencia el tratamiento automatizado que vaya a hacerse de los mismos. Circunstancia habitual en Internet es el hecho de que, al ir el usuario mostrando a través de la navegación sus preferencias y hábitos de consumo, las empresas de comercio electrónico establecen perfiles de los individuos que les permiten posteriormente un envío de ofertas y mensajes publicitarios más acordes con dicho perfil. En ese sentido, la Ley 25.326 de Protección de los Datos Personales, que se tiene en cuenta en el Anteproyecto de Ley sobre Formato Digital de los Actos Jurídicos y Comercio Electrónico preparado por la Jefatura de Gabinete, establece la obligación de la empresa de comercio electrónico, de utilizar los datos personales sólo para finalidades compatibles con aquellas para las cuales los datos hubieran sido recogidos. Por ello, el usuario debe procurar averiguar la política de sus proveedores y administradores de listas y directorios, en lo que se refiere a venta, intercambio o alquiler de los datos que les suministra.

Page 23: Carlos Camacho Comercio Electronico

23

Hay que tener en cuenta, que cuando el usuario introduce su dirección de correo electrónico en un directorio, lista de distribución o grupo de noticias, dicha dirección puede ser recogida por terceros para ser utilizada para una finalidad diferente, como por ejemplo, remitirle publicidad no deseada (spam). 3.4 Marketing y Publicidad En este apartado se analizan los principales aspectos jurídicos que afectan a las actividades realizadas en Internet para promover la contratación de productos o servicios; así tanto el usuario, en ente caso consumidor, como el oferente tendrán que tener en cuenta que se respetan los siguientes puntos: 3.4.1 Descripción del producto o servicio: prevención de errores de interpretación del usuario Uno de los principales objetivos en el diseño de una oferta a través de Internet es que la descripción del producto sea clara, con el fin de evitar dificultades en la interpretación de sus cualidades o características técnicas por parte del usuario. Pensemos que se trata de una venta a distancia, y que el usuario no puede apreciar de forma directa, la calidad del producto. Es en ese punto donde la publicidad cobra un papel relevante, ya que va a influir en el consumidor impactándole para que se decida por un determinado producto, careciendo el usuario de Internet de otros elementos de juicio, debido a que no accede físicamente al objeto de la compra. La percepción de que en Internet puede haber menos control de la actividad publicitaria puede provocar la aparición de promesas que luego no se cumplan. ¿Qué puede hacer el consumidor ante una compra que no quiere?: en España, por ejemplo, “La Ley de Comercio Minorista” concede al comprador, un plazo de reflexión de 7 días, para la devolución del producto adquirido a distancia. Otras medidas de carácter informativo y preventivo para el oferente son la inclusión de una recomendación, en el caso de productos complejos, de que se solicite asesoramiento al servicio de atención al cliente, y que no se adquiera el producto hasta que se hayan despejado todas las dudas sobre su funcionamiento, compatibilidad, adecuación a las necesidades del usuario; etc. 3.4.2 Normativa sobre publicidad El uso de Internet con fines publicitarios hace que se trasladen a la Red, los mensajes publicitarios que se difunden en la vida real. Pero la aparente falta de control ha creado cierta sensación de impunidad en la Red, que puede ocasionar la aparición de supuestos de publicidad ilícita o contraria a la legalidad vigente. Se entiende como ilícita toda aquella publicidad que: a) atente contra la dignidad de la persona o vulnere valores y derechos reconocidos (por la Constitución), especialmente en lo que se refiere a la infancia, juventud y la mujer. b) la publicidad engañosa (es aquella que de cualquier manera, incluida su presentación, induce o pueda inducir a error a sus destinatarios, pudiendo afectar a su comportamiento económico, o perjudicar o ser capaz de perjudicar a un competidor. Es engañosa

Page 24: Carlos Camacho Comercio Electronico

24

también, la publicidad que silencie datos fundamentales de los bienes, actividades o servicios cuando dicha omisión induzca a error de los destinatarios). c) la publicidad desleal, es aquella que por su contenido, forma de presentación o difusión provoca el descrédito, denigración o menosprecio directo o indirecto de una persona, empresa o de sus productos, servicios o actividades. La que induce a confusión con las empresas, actividades, productos, nombres, marcas u otros signos distintivos de los competidores, así como la que haga uso injustificado de la denominación, siglas, marcas o distintivos de otras empresas o instituciones y, en general, la que sea contraria a las normas de corrección y buenos usos mercantiles. La publicidad comparativa cuando no se apoye en características esenciales, afines y objetivamente demostrables de los productos o servicios, o cuando se contrapongan bienes o servicios con otros no similares o desconocidos, o de limitada participación en el mercado. d) La publicidad subliminal. e) La que infrinja lo dispuesto por la normativa que regule la publicidad de determinados productos, bienes, actividades o servicios. 3.5 Métodos de pago 3.5.1 Tarjetas de crédito SET (Secure Electronic Transaction): es un estándar avalado por la industria y concebido para proteger las transacciones con tarjeta de crédito en Internet. Permite la autenticación de todos los participantes de la operación electrónica y asegura confidencialidad e integridad de los datos. El protocolo SET fue desarrollado por Visa y MasterCard, con la colaboración de otras compañías líderes, como Microsoft, IBM, Netscape, RSA, VeriSign y otras. El pago mediante tarjeta es un proceso complejo en el cual participan varios actores: - El banco emisor: emite la tarjeta del cliente, extiende su crédito y es responsable de la facturación, recolección y servicio al consumidor. - El banco adquiriente: establece una relación con el comerciante, procesando las transacciones con tarjeta y las autorizaciones de pago. - El titular de la tarjeta: posee la tarjeta emitida por el banco emisor y realiza y paga las compras. - El comerciante: vende productos, servicios o información y acepta el pago electrónico, que es gestionado por su entidad financiera (adquiriente). - La pasarela de pagos: mecanismo mediante el cual se procesan y autorizan las transacciones del comerciante. La pasarela puede pertenecer a una entidad financiera (adquiriente) o a un operador de medio de pago, el cual procesa todas las transacciones de un conjunto de entidades. - El procesador (redes de medios de pago): proporciona servicios adicionales operando la infraestructura de telecomunicaciones sobre las que se realizan las transacciones. - Autoridad de certificación: certifica las claves públicas del titular de la tarjeta, del comerciante y de los bancos. Una transacción SET típica, funciona de forma muy parecida a una transacción convencional con tarjeta de crédito. El cliente navega por el sitio web del comerciante y decide comprar un artículo.

Page 25: Carlos Camacho Comercio Electronico

25

Para ello, rellena un formulario y posiblemente haga uso de alguna aplicación tipo carrito de la compra, para ir almacenando diversos artículos y pagarlos todos al final. El protocolo SET se inicia cuando el comprador pulsa el botón de Pagar. El servidor del comerciante envía una descripción del pedido que despierta a la aplicación monedero del cliente. El cliente comprueba el pedido y transmite una orden de pago de vuelta al comerciante. La aplicación monedero crea dos mensajes que envía al comerciante. El primero, lleva la información del pedido y contiene los datos del pedido; mientras que el segundo, contiene las instrucciones de pago del cliente (número de tarjeta de crédito, banco emisor, etc.) para el banco adquiriente. En ese momento, el software monedero del cliente genera una firma dual, que permite juntar en un solo mensaje la información del pedido y las instrucciones de pago, de manera que el comerciante puede acceder a la información del pedido, pero no a las instrucciones de pago, mientras que el banco puede acceder a las instrucciones de pago, pero no a la información del pedido. Este mecanismo reduce el riesgo de fraude y abuso, ya que ni el comerciante llega a conocer el número de tarjeta de crédito empleado por el comprador, ni el banco se entera de los hábitos de compra de su cliente. El comerciante envía la petición de pago a su banco. El software SET en el servidor del comerciante crea una petición de autorización que envía a la pasarela de pagos, incluyendo el importe a ser autorizado, el identificador de la transacción y otra información relevante acerca de la misma, todo ello convenientemente cifrado y firmado. Entonces se envían al banco adquiriente la petición de autorización junto con las instrucciones de pago (que el comerciante no puede examinar, ya que van cifradas con la clave pública del adquiriente). El banco adquiriente valida al cliente y al comerciante y obtiene una autorización del banco emisor del cliente. El banco del comerciante descifra y verifica la petición de autorización. Si el proceso tiene éxito, obtiene a continuación las instrucciones de pago del cliente, que verifica a su vez, para asegurarse de la identidad del titular de la tarjeta y de la integridad de los datos. Se comprueban los identificadores de la transacción en curso (el enviado por el comerciante y el codificado en las instrucciones de pago) y, si todo es correcto, se formatea y envía una petición de autorización al banco emisor del cliente a través de la red de medios de pago convencional. El emisor autoriza el pago. El banco emisor verifica todos los datos de la petición y si todo está en orden y el titular de la tarjeta posee crédito, autoriza la transacción. El adquiriente envía al comerciante un testigo de transferencia de fondos. En cuanto el banco del comerciante recibe una respuesta de autorización del banco emisor, genera y firma digitalmente un mensaje de respuesta de autorización que envía a la pasarela de pagos, convenientemente cifrada, la cual se la hace llegar al comerciante. El comerciante envía un recibo al monedero del cliente. Cuando el comerciante recibe la respuesta de autorización de su banco, verifica las

Page 26: Carlos Camacho Comercio Electronico

26

firmas digitales y la información para asegurarse de que todo está en orden. El software del servidor almacena la autorización y el testigo de transferencia de fondos. A continuación completa el procesamiento del pedido del titular de la tarjeta, enviando la mercancía o suministrando los servicios pagados. Más adelante, el comerciante usa el testigo de transferencia de fondos para cobrar el importe de la transacción. Después de haber completado el procesamiento del pedido del titular de la tarjeta, el software del comerciante genera una petición de transferencia a su banco, confirmando la realización con éxito de la venta. Como consecuencia, se produce el abono en la cuenta del comerciante. A su debido tiempo, el dinero se descuenta de la cuenta del cliente. El protocolo definido por SET especifica el formato de los mensajes, las codificaciones y las operaciones criptográficas que deben usarse. No requiere un método particular de transporte, de manera que los mensajes SET pueden transportarse sobre HTTP en aplicaciones web, sobre correo electrónico o cualquier otro método. Como los mensajes no necesitan transmitirse en tiempo presente, son posibles implantaciones de SET eficientes basadas en correo electrónico. 3.5.2 Tarjetas de Débito A diferencia de las tarjetas de crédito, las tarjetas de débito requieren un PIN (número de identificación personal). El usuario debe tener previamente depositado en su cuenta bancaria el dinero necesario para la compra que va a realizar, y los pagos no pueden ser financiados en cuotas. Las tarjetas de débito funcionan a través de dispositivos físicos capaces de leer la información almacenada en su banda magnética. En rigor, y por este motivo, no son utilizadas actualmente para el comercio electrónico, pues sería necesario que cada cliente tuviera el hardware necesario para leer y validar la tarjeta. Sin embargo, muchas empresas han desarrollado soluciones de pago inspiradas en este sistema, que aunque no se ajustan perfectamente a esta definición, son consideradas tarjetas de débito. En esta línea está el llamado "efectivo electrónico". Se trata de dinero virtual, pero con las mismas ventajas del dinero ordinario: anónimo, no puede ser rastreado, puede ser dividido en distintos montos, puede ser usado por menores y por cualquier persona sin necesidad de que tenga una cuenta bancaria. Por supuesto, también tiene las mismas desventajas (como la posibilidad de ser falsificado). Para que exista el dinero electrónico es necesario una entidad financiera que lo emita y lo respalde, y comerciantes que lo acepten como dinero "real". Varias organizaciones financieras en todo el mundo han desarrollado soluciones basadas en el concepto de "efectivo electrónico" y cada modelo presenta distintivas particularidades según la región donde se aplica. En el plano internacional se han destacado emprendimientos como: CyberCoins y DigiCash. En nuestra región geográfica, Novacash, que es una tarjeta de débito argentina que se publicita como "El efectivo digital".

Page 27: Carlos Camacho Comercio Electronico

27

Novacash es una tarjeta de débito prepaga que sirve para realizar compras por Internet de modo anónimo. El cliente debe comprar la tarjeta en una sucursal "física" de alguno de los comercios adheridos (Grimoldi, Musimundo, etc.) y activarla. La activación consiste en "cargarla con dinero" y validarla con un PIN. El cliente elige la suma de efectivo que derivará a la tarjeta y seguidamente tendrá que abonarlo. El vendedor ingresa en la tarjeta el monto recibido y extiende un comprobante. Inmediatamente, el cliente ingresa un número de PIN para la tarjeta a través de un dispositivo electrónico que le es proporcionado. Luego de esto, el usuario ya está en condiciones de comprar por Internet de una forma anónima y segura. El usuario sólo podrá comprar hasta la cantidad de dinero que tenga almacenado en la tarjeta, pero podrá recargarla cuantas veces quiera. Además, sólo podrá comprar en los comercios adheridos a Novacash (ya que son los únicos que reconocen ese débito como dinero). Aunque la red Novacash es todavía pobre, la solución que plantea para las compras electrónicas locales es muy prometedora y es de esperar que la cantidad de comercios adheridos crezca en el futuro cercano. La principal ventaja de este sistema es que uno no puede gastar más dinero que el que tiene almacenado en la tarjeta, las posibilidades de abusos o estafas son pocas y casi nulas si el usuario sabe administrar las tarjetas con inteligencia. Novacash permite transferir fondos entre tarjetas, por lo cual un cliente puede tener una tarjeta maestra desde donde administra sus fondos y varias tarjetas "satélite" a las que deriva la cantidad exacta de dinero que quiere gastar en una compra determinada. Otra característica prometedora es que los usuarios de Novacash pueden ser menores de edad o gente al margen del sistema financiero. En el momento de realizar una compra, cuando el cliente está en el sitio web de un comercio adherido y ya tiene elegido el producto, al escoger el modo de pago Novacash, es redireccionado a un servidor seguro donde se le solicita su número de tarjeta y de PIN. Se le consulta sobre el monto a pagar y si el cliente está de acuerdo y hay suficiente dinero acreditado, tras pulsar el botón "Aceptar" es enviado a una pantalla que confirma la operación y muestra el nuevo saldo de la tarjeta. 3.5.3 Pagos Off-line El método más difundido es el Pago Contra Entrega. Es una forma de pago conocida y aceptada por todo el mundo. Es segura tanto para el cliente como para el vendedor. La mercadería se envía al destinatario a través del correo. Para poder recibir el paquete el cliente debe abonar al empleado postal la suma de dinero indicada por el remitente. Luego, el Correo reembolsa al remitente lo cobrado mediante un giro postal. En la Argentina, el valor de este servicio es de un 4% del monto a cobrar. - La ventaja de este sistema es que el vendedor recibe el dinero directamente del Correo y no necesita hacer un seguimiento o validación de cada cliente para asegurarse de que pague.

Page 28: Carlos Camacho Comercio Electronico

28

- La desventaja principal es que mercaderías muy voluminosas o pesadas encarecen el precio final del producto de un modo dramático. Otro método utilizado con menos éxito que el Pago Contra Reembolso es, el Depósito Previo en Cuenta Bancaria. Junto con su oferta de productos y servicios, el vendedor publica en su sitio web una lista de Sucursales Bancarias donde es posible depositar dinero en una cuenta determinada. En general, el procedimiento de compra es así: El cliente elige un producto y completa un formulario con todos sus datos necesarios, como datos personales, dirección donde quiere recibir la mercadería, etc. Después de pulsar el botón "Aceptar", una aplicación envía la información del formulario por e-mail al vendedor. Simultáneamente el cliente es redireccionado a una página donde están los datos de la cuenta bancaria, la cantidad de dinero que debe depositar y la lista de sucursales donde puede hacerlo. El cliente elige la sucursal más cercana y realiza el depósito en ventanilla. Luego envía por fax o correo al vendedor una copia del comprobante de depósito. El vendedor envía al cliente la mercadería por la vía que acordaron previamente. Aunque no resulte un método que logre entusiasmar a los nuevos usuarios, puede ser muy efectivo con aquellos clientes con los cuales ya hemos establecido relaciones de confianza, sobre todo si se trata de cobros regulares como una suscripción o una membresía que debe ser renovada cada cierto tiempo. Una variante del Depósito Bancario es el Giro Bancario. Aquí el cliente informa a su Banco que transfiera la cantidad de dinero pactada desde su cuenta a la cuenta del vendedor (que suele pertenecer a otro Banco). Ambas entidades financieras cobran comisiones sobre los fondos transferidos. Finalmente, está la opción de Giros Postales o envío de dinero a través de empresas especializadas como Western Unión. El cliente debe acudir a alguna de las sucursales y girar el dinero a nombre del vendedor. La transferencia es inmediata. El cliente notifica al vendedor por e-mail el número de operación y el vendedor entrega la mercadería en las condiciones pactadas. Logística – “Átomos y Bytes” La llamada Logística de E-commerce tiene que ver con todos los procesos relacionados al almacenamiento, distribución y transporte de mercaderías, desde el vendedor al consumidor final. En algunos casos también suele incluir el cobro de la mercadería, por ejemplo, cuando el cliente abona contra entrega. Existe una diferencia importante en cuanto al tipo de solución que se debe aplicar y está dada por el soporte de nuestro producto. Las mercaderías soportadas en átomos requieren infraestructura que es innecesaria para las mercaderías soportadas en bytes, y viceversa. Esta diferencia influye en forma dramática sobre el precio final de cada producto. Los átomos (muebles, flores, electrodomésticos, artesanías, etc.) ocupan espacio, pesan y deben atravesar fronteras físicas cuando son despachados. Esto los hace muy

Page 29: Carlos Camacho Comercio Electronico

29

propensos a cargar y cargar impuestos. También exigen fuerza de trabajo humana para moverlos, almacenarlos y embalarlos. Cuando se suman todas las cargas impositivas y de intermediarios, y principalmente si no se ha planificado una estrategia de logística, tratar de vender átomos por Internet puede parecer bastante desolador. Sin embargo, hay algo que los átomos tienen que los bytes carecen, y es: que la gente los prefiere. Cuando el consumidor tiene que optar entre un mismo producto soportado en átomos o bytes siempre va a tener preferencia por el primero. A la gente le gusta comprar cosas que pueda ver, coleccionar y “acariciar de vez en cuando”. La psicología de la propiedad funciona mejor sobre los átomos que sobre los bytes, por lo cual, aunque un producto resulte encarecido por su soporte puede terminar siendo más rentable. Los átomos necesitan ser:

• Ordenados y almacenados en un depósito. • Inventariados para controlar el stock. • Armados en paquetes y vinculados a la documentación pertinente (destino,

factura, etc.). • Transportados hasta el cliente y susceptibles de seguimiento. • Asegurados por robo, daños y devoluciones.

Se puede recurrir a un único socio logístico que resuelva todas o parte de las etapas del proceso que no son fáciles de absorber. Todas las empresas de correo importantes tienen planes de logística para e-commerce que contemplan soluciones para la totalidad del proceso. Otra alternativa pasa por vincularse con diferentes socios para cada etapa en particular, pero eso depende de la estrategia y el plan general del sitio web. Los bytes (contenidos, traducciones, software, etc.) tienen la enorme ventaja de poder ser transmitidos al cliente en tiempo real inmediatamente después de efectivizada la compra. Generalmente tienen el beneficio de la reducción de impuestos en las operaciones internacionales. La principal desventaja en la venta de bytes es que son productos vulnerables. Incluso la mejor protección puede ser violada y en consecuencia el material puede ser alterado, redistribuido o plagiado. 3.6 Atención al cliente Internet ofrece múltiples herramientas para resolver el tema de Atención al Cliente. El soporte mediante e-mail es un método económico, veloz y muy difundido. Sin embargo, tal vez por esta urgencia en los procesos que impone la Red, los clientes prefieren cada vez más los métodos inmediatos o interactivos. En primer lugar, todo sitio web debe contar con una sección de FAQs (Respuestas a Preguntas Frecuentes), o un manual de especificaciones o de uso, según el caso. Esto se

Page 30: Carlos Camacho Comercio Electronico

30

establece para despejar las inquietudes más comunes de los usuarios y como una primera alternativa adonde acudir en caso de dudas. A partir de aquí, es conveniente instalar una serie de herramientas que colaboren con el usuario desde lo general a lo particular. Un foro de consultas es el siguiente paso lógico. El usuario puede publicar su inquietud y esperar respuesta tanto desde la empresa como de otros visitantes, además puede leer las preguntas y respuestas de otros usuarios sobre casos particulares. Un salón de chat permite que el usuario converse, en tiempo real, tanto con nosotros como con otros navegantes conectados. La práctica demuestra que los navegantes son solidarios entre sí y tienden a ayudarse, por lo que descubriremos que varios de nuestros usuarios pueden terminar comportándose como si fueran parte de nuestro staff de atención al cliente. La alternativa más personalizada es la videoconferencia. Mediante programas como Netmeeting, nuestro cliente puede mantener una videoconferencia con nosotros en la que podrá vernos y escucharnos en forma totalmente personal, mientras despejamos sus dudas.

3.7 ¿Qué es, cómo funciona y cuánto cuesta la implementación de la pasarela de pago, el certificado de seguridad de IP fija en un alojamiento web?

El servicio consiste en realizar la programación a medida para el banco del cliente y la integración con su Web de una pasarela de pago con su banco que permita la venta a través de tarjeta de crédito mas la instalación y configuración de un certificado de seguridad SSL y una IP fija (las IP Fija siempre son necesarias cuando hay un Certificado de seguridad instalado, es un requisito mínimo para la instalación de un certificado de seguridad).

La programación de la pasarela de pago, es algo que siempre hay que hacer cuando se hace una Web nueva y no es algo que se pueda migrar de una Web vieja a otra nueva, así como los certificados de seguridad tampoco son migrables, es por ello que siempre se cobra el primer año dicho servicio con los proyectos nuevos o rediseños que requieran una pasarela de pago.

Al margen de esto, este modulo normalmente requiere un certificado de seguridad SSL y una IP Fija en muchos de los casos, ya que los bancos con los que operan los clientes, le requieren al cliente este tipo de certificados e Ip fija para poder operar con ellos.

A continuación hablaremos un poco más sobre los certificados de seguridad:

Mediante la instalación de un Certificado de Seguridad reconocido por Thawte (marca que instala Serviweb), la Web ofrecerá a todos sus visitantes la mayor garantía posible en cuanto a seguridad en la transmisión de datos, tanto personales como relativos a transacciones económicas.

¿Que proporciona un Certificado de Seguridad Web SSL?

Page 31: Carlos Camacho Comercio Electronico

31

Mediante la instalación de un Certificado de Seguridad SSL adquirido a través de Serviweb, cualquier información enviada a su servidor es encriptada, imposibilitando su intercepción o robo.

Además muestra la identidad del individuo o empresa responsable del sitio Web y el nombre de la autoridad independiente que ha verificado dicha identidad (Thawte en éste caso). El Certificado de Seguridad se conectará a través de 128 bit, 56 bit o 40 bit dependiendo de la capacidad del navegador del cliente.

¿Por qué el cliente necesita un Certificado de Seguridad SSL?

Muchas contrataciones on-line no se realizan en el último momento cuando los clientes consideran el riesgo potencial de introducir los datos de su tarjeta de crédito o cualquier otra información personal o cuando existe alguna duda sobre si es seguro el intercambio o envío de datos de un sitio Web.

Utilizando el SSL (Secure Sockets Layer) de Serviweb, basado en el protocolo de seguridad de Internet más avanzado de la actualidad, usted y sus clientes se aseguran de que cualquier comunicación online es totalmente segura mientras se está transmitiendo la información. Asegurar la transmisión de información en sus transacciones comporta beneficios obvios al mostrar a sus clientes que su gestión on-line es de total confianza y por supuesto ofrece una imagen de gran seriedad y compromiso.

Un Certificado de Seguridad Web SSL se convierte en esencial cuanto una empresa desea:

Ofrecer transacciones seguras. Garantizar la privacidad de la información. Proteger la información durante el proceso de transmisión de datos entre el

usuario y el servidor.

Por tal motivo, si deseas que la información de tus clientes sea totalmente privada y confidencial, un Certificado de Seguridad Web SSL es la única forma de asegurar a tus clientes de que no se exponen a ningún riesgo al enviar datos a través de la red.

Los clientes on-line están libres de cualquier riesgo asociado a la compra a través de Internet o el envío de sus datos personales, de cualquier intercepción de sus datos por parte de personas no autorizadas.

Utilizando los certificados de seguridad de Thawte de Serviweb, los clientes sabrán que están trabajando con una empresa u organización cuya seguridad en cuanto a envío de datos y/o transacciones on-line está totalmente verificada y asegurada.

Precio

Estos servicios normalmente se venden unidos cuando el cliente quiere realizar una pasarela de pago con un banco especifico, con el siguiente concepto:

Page 32: Carlos Camacho Comercio Electronico

32

Módulo Pasarela de pago con tarjeta de crédito personalizada (permite el pago con tarjeta de crédito con un Banco especifico): 395€ (el primer año y 195€ los años siguientes). Nota: Aunque su precio puede variar a 195 € de instalación y ninguna cuota anual (ver más abajo).

El certificado SSL es un servicio que no se puede migrar en un traslado de dominio y alojamiento, y además es un servicio que se tiene que renovar siempre anualmente, es por ello que se cobran 195€ anuales por la renovación de esos servicios.

En el caso que el banco de un cliente, no requiriese Certificado de Seguridad ni IP Fija, el cliente puede elegir contratarlo para dar mas fiabilidad a su Web (aparecerá un icono con un candado en el pie de su Web), o no hacerlo. Si no desease el Certificado, el precio de la instalación de la pasarela de pago, seria únicamente 195€ y no habría cuotas anuales de 195€ (por la renovación del certificado) que abonar, dado que no estaría dicho servicio funcionando

3.8 Conclusiones La implantación de seguridad en las transacciones realizadas sobre la red Internet implica la disponibilidad de una infraestructura de clave pública (PKI) y el uso de protocolos seguros como SET o SSL. El componente CA de dicha infraestructura es crítico y debe gozar del suficiente grado de confianza por todas las partes. La CA puede gestionaste por un banco, un consorcio de bancos o alguna otra entidad externa. SET es el protocolo que aporta el mayor grado de seguridad a al vez que es extremadamente complejo. Esta circunstancia ha imposibilitado el despliegue definitivo de los sistemas de pago basados en el protocolo definido por VISA y MasterCard. Se espera que el nuevo concepto de “server wallet”, que se fundamenta en que los certificados digitales SET no residen en el cliente, sino en un servidor gestionado por las entidades de pago, suponga el despliegue definitivo. El “server wallet” supone una mayor facilidad de uso para el usuario aportando además un alto grado de movilidad a la vez que provoca una disminución del nivel de seguridad. Las soluciones de pago basadas en SSL ofrecen una solución alternativa, mucho menos segura pero gozan de fuerte implantación. Se prevé que dichas soluciones migren a una solución final de SET basada en “server wallet” y pasando por una solución mixta en donde el TPV virtual se ofrezcan como servicio del banco. La firma digital aplicada a los sistemas de banca virtual aporta la propiedad del no repudio a las órdenes de transacción emitidas por los clientes. Aunque en la actualidad el sistema no esta implantado en la mayoría de las soluciones de banca electrónica, la rápida consolidación de la tecnología PKI y el reconocimiento legal del sistema fuerce la implantación masiva a corto plazo.

Page 33: Carlos Camacho Comercio Electronico

33

CAPITULO IV AUDITORIA DE SEGURIDAD: NIVELES DE SEGURIDAD 4.1 Auditoria Informática (AUD). Generalidades En primer lugar es importante definir el término de Auditoría, ya que el mismo se ha usado principalmente para referirse a una revisión cuyo único fin es detectar errores, fraudes, señalar fallas y como consecuencia recomendar el despido o remoción del personal, no obstante, la Auditoría es un concepto mucho más amplio que The American Accounting Association lo define claramente como "El proceso sistemático para evaluar y obtener de manera objetiva las evidencias relacionadas con informes sobre actividades económicas y otros acontecimientos relacionados". El fin del proceso consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, así como determinar si dichos informes se han elaborado observando los principios establecidos para el caso". Para Hernández García toda auditoría y cualquier tipo de auditoria "es una actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas." Hasta hace poco tiempo, la comprobación de la gestión y control de la actividad económica y financiera de las organizaciones, se hacía solamente por medio de la Auditoría Financiera, sin embargo, por el grado de informatización de las empresas, la misma no era suficiente y se hizo necesario conocer qué ocurría dentro de los sistemas de información, ya que la Auditoría Financiera podía llegar a conocer la información de entrada al sistema y el resultado obtenido, pero no podía determinar lo que sucedía entre el momento de entrada de la información y los resultados o salida de la misma, es decir se conocían los "inputs" y los "outputs" pero no desconocía cómo se habían generado estos últimos y si habían sido objeto o no de alguna manipulación. El examen de lo que acontece realmente en los Sistemas de Información, se puede realizar gracias a la Auditoría Informática. Pero, ¿Qué es la Auditoría Informática?. No existen definiciones oficiales sobre la misma, y algunas de las que aparecen en libros o se dan en cursos y seminarios tienen la influencia y criterio personal de su autor, no obstante, a continuación mencionamos las que consideramos más importantes: Una definición podría ser la siguiente: "Se entiende por Auditoría Informática una serie de exámenes periódicos o esporádicos de un sistema informático cuya finalidad es analizar y evaluar la planificación, el control, la eficacia, la seguridad, la economía y la adecuación de la infraestructura informática de la empresa". Ramos González propone la siguiente definición: "La Auditoría Informática comprende la revisión y la evaluación independiente y objetiva, por parte de personas independientes y teóricamente competentes del entorno informático de una entidad, abarcando todo o algunas de sus áreas, los estándares y procedimientos en vigor, su idoneidad y el cumplimiento de éstos, de los objetivos fijados, los contratos y las

Page 34: Carlos Camacho Comercio Electronico

34

normas legales aplicables, el grado de satisfacción de usuarios y directivos, los controles existentes y el análisis de riesgos". Para Fernando Catacora Carpio, Especialista en Sistemas de Información Gerencial y profesor de esta cátedra en la Universidad Católica Andrés Bello de Caracas, Venezuela "La Auditoría Informática es aquella que tiene como objetivo principal la evaluación de los controles internos en el área de PED (Procesamiento Electrónico de Datos). Otra definición nos indica que la Auditoría Informática es aquella que tiene como objetivos evaluar los controles de la función informática, analizar la eficiencia de los sistemas, verificar el cumplimiento de las políticas y procedimientos de la empresa en este ámbito y revisar que los recursos materiales y humanos de esta área se utilicen eficientemente. El auditor informático debe velar por la correcta utilización de los recursos que la empresa dispone para lograr un eficiente y eficaz Sistema de Información. Finalmente, de forma sencilla y gráfica podemos decir que la Auditoría Informática es el proceso de recolección y evaluación de evidencia para determinar sí un sistema automatizado:

Salvaguarda activos {

Daños

Destrucción

Uso no autorizado

Robo

Mantiene la Integridad

de los datos {

Oportuna

Precisa

Confiable

Completa

Alcanza Metas

Organizacionales {

Contribución de la función

Informática

Consume recursos

eficientemente {

Utiliza los recursos adecuadamente

en el procesamiento de la información

Así pues, debemos reafirmar que la Auditoría Informática, también conocida en nuestro medio como Auditoría de Sistemas, surge debido a que la información se convierte en uno de los activos más importante de las empresas, lo cual se puede confirmar si consideramos el hecho de que si se queman las instalaciones físicas de cualquier organización, sin que sufran daños los ordenadores, servidor eso equipo de cómputo, la entidad podría retomar su operación normal en un menor tiempo, que si ocurre lo

Page 35: Carlos Camacho Comercio Electronico

35

contrario. A raíz de esto, la información adquiere gran importancia en la empresa moderna debido a su poder estratégico y a que se invierten grandes sumas de dinero y tiempo en la creación de sistemas de información con el fin de obtener una mayor productividad. Otro factor que influyó grandemente en el nacimiento de la Auditoría Informática fue el uso de la tecnología y sistemas computarizados para el procesamiento de la información, lo cual ha tenido una importante repercusión sobre la disciplina contable, pues la mayoría de las operaciones financieras han recibido la influencia de la informática. 4.1.1 Alcance de la Auditoría Informática El alcance de la Auditoría Informática no es nada más que la precisión con que se define el entorno y los límites en que va a desarrollarse la misma y se complementa con los objetivos establecidos para la revisión. El alcance de la Auditoría Informática deberá definirse de forma clara en el Informe Final, detallando no solamente los temas que fueron examinados, sino también indicando cuales se omitieron. 4.1.2 Importancia de la Auditoría Informática A pesar de ser una disciplina cuya práctica ha aumentado en nuestro país durante los últimos años, la Auditoría Informática, es importante en las organizaciones por las siguientes razones: • Se pueden difundir y utilizar resultados o información errónea si la calidad de datos de entrada es inexacta o los mismos son manipulados, lo cual abre la posibilidad de que se provoque un efecto dominó y afecte seriamente las operaciones, toma de decisiones e imagen de la empresa. • Las computadoras, servidores y los Centros de Procesamiento de Datos se han convertido en blancos apetecibles para fraudes, espionaje, delincuencia y terrorismo informático. • La continuidad de las operaciones, la administración y organización de la empresa no deben descansar en sistemas mal diseñados, ya que los mismos pueden convertirse en un serio peligro para la empresa. • Las bases de datos pueden ser propensas a atentados y accesos de usuarios no autorizados o intrusos. • La vigencia de la Ley de Derecho de Autor, la piratería de softwares y el uso no autorizado de programas, con las implicaciones legales y respectivas sanciones que esto puede tener para la empresa. • El robo de secretos comerciales, información financiera, administrativa, la transferencia ilícita de tecnología y demás delitos informáticos. • Mala imagen e insatisfacción de los usuarios porque no reciben el soporte técnico adecuado o no se reparan los daños de hardware ni se resuelven los problemas en plazos razonables, es decir, el usuario percibe que está abandonado y desatendido permanentemente. • En el Departamento de Sistemas se observa un incremento desmesurado de costos, inversiones injustificadas o desviaciones presupuestarias significativas. • Evaluación de nivel de riesgos en lo que respecta a seguridad lógica, seguridad física y confidencialidad.

Page 36: Carlos Camacho Comercio Electronico

36

• Mantener la continuidad del servicio y la elaboración y actualización de los planes de contingencia para lograr este objetivo. • Los recursos tecnológicos de la empresa incluyendo instalaciones físicas, personal subalterno, horas de trabajo pagadas, programas, aplicaciones, servicios de correo, Internet, o comunicaciones; son utilizados por el personal sin importar su nivel jerárquico, para asuntos personales, alejados totalmente de las operaciones de la empresa o de las labores para las cuales fue contratado. • El uso inadecuado de la computadora para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor y el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos. Tipos de Auditoría Informática El Departamento de Informática o Sistemas desarrolla diversas actividades y sobre la base de estas se han establecido las principales divisiones de la Auditoría Informática, las cuales son: de Explotación u Operación, Desarrollo de Proyectos, de Sistemas, de Comunicaciones y Redes y de Seguridad. A continuación repasaremos brevemente cada una. 4.1.2.1 Auditoría Informática de Producción o Explotación En algunos casos también conocida como de Explotación u Operación, se ocupa de revisar todo lo que se refiere con producir resultados informáticos, listados impresos, ficheros soportados magnéticamente, ordenes automatizadas para lanzar o modificar procesos, etc. La producción, operación o explotación informática dispone de una materia prima, los datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. La transformación se realiza por medio del proceso informático, el cual está gobernado por programas y obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario. Auditar la producción, operación o explotación consiste en revisar las secciones que la componen y sus interrelaciones, las cuales generalmente son: planificación, producción y soporte técnico. 4.1.2.2 Auditoría Informática de Desarrollo de Proyectos La función de desarrollo es una evolución del llamado análisis y programación de sistemas, y abarca muchas áreas, como lo son: prerequisitos del usuario y del entorno, análisis funcional, diseño, análisis orgánico (preprogramación y programación), pruebas entrega a explotación o producción y alta para el proceso. Estas fases deben estar sometidas a un exigente control interno, ya que en caso contrario, los costos pueden excederse, puede producirse la insatisfacción del usuario.

Page 37: Carlos Camacho Comercio Electronico

37

La auditoría en este caso deberá principalmente comprobar la seguridad de los programas en el sentido de garantizar que lo ejecutado por la máquina sea exactamente lo previsto o lo solicitado inicialmente. 4.1.2.3 Auditoría Informática de Sistemas Se ocupa de analizar y revisar los controles y efectividad de la actividad que se conoce como técnicas de sistemas en todas sus facetas y se enfoca principalmente en el entorno general de sistemas, el cual incluye sistemas operativos, softwares básicos, aplicaciones, administración de base de datos, etc. 4.1.2.4 Auditoría Informática de Comunicaciones y Redes Este tipo de revisión se enfoca en las redes, líneas, concentradores, multiplexores, etc. Así pues, la Auditoría Informática ha de analizar situaciones y hechos algunas veces alejados entre sí, y está condicionada a la participación de la empresa telefónica que presta el soporte. Para este tipo de auditoría se requiere un equipo de especialistas y expertos en comunicaciones y redes. El auditor informático deberá inquirir sobre los índices de utilización de las líneas contratadas, solicitar información sobre tiempos de desuso; deberá proveerse de la topología de la red de comunicaciones actualizada, ya que la desactualización de esta documentación significaría una grave debilidad. Por otro lado, será necesario que obtenga información sobre la cantidad de líneas existentes, cómo son y donde están instaladas, sin embargo, las debilidades más frecuentes o importantes se encuentran en las disfunciones organizativas, pues la contratación e instalación de líneas va asociada a la instalación de los puestos de trabajo correspondientes (pantallas, servidores de redes locales, computadoras, impresoras, etc.). 4.1.2.5. Auditoría de la Seguridad Informática La Auditoría de la seguridad en la informática abarca los conceptos de seguridad física y lógica. La seguridad física se refiere a la protección del hardware y los soportes de datos, así como la seguridad de los edificios e instalaciones que los albergan. El auditor informático debe contemplar situaciones de incendios, inundaciones, sabotajes, robos, catástrofes naturales, etc. Por su parte, la seguridad lógica se refiere a la seguridad en el uso de softwares, la protección de los datos, procesos y programas, así como la del acceso ordenado y autorizado de los usuarios a la información. El auditar la seguridad de los sistemas, también implica que se debe tener cuidado que no existan copias piratas, o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión de virus. 4.1.2.6. Auditoría Informática para Aplicaciones en Internet. En este tipo de revisiones, se enfoca principalmente en verificar los siguientes aspectos, los cuales no puede pasar por alto el auditor informático:

Page 38: Carlos Camacho Comercio Electronico

38

• Evaluación de los riesgos de Internet (operativos, tecnológicos y financieros) y así como su probabilidad de ocurrencia. • Evaluación de vulnerabilidades y la arquitectura de seguridad implementada. • Verificar la confidencialidad de las aplicaciones y la publicidad negativa como consecuencia de ataques exitosos por parte de hackers. Metodología de Trabajo de Auditoría Informática El método de trabajo del auditor pasa por las siguientes etapas: • Alcance y Objetivos de la Auditoría Informática. • Estudio inicial del entorno auditable. • Determinación de los recursos necesarios para realizar la auditoría. • Elaboración del plan y de los Programas de Trabajo. • Actividades propiamente dichas de la auditoría. • Confección y redacción del Informe Final. 4.2 Políticas de seguridad informática (SEG) La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes ha las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información. Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa. En este sentido, las políticas de seguridad informática surgen como una herramienta organizacional para concientizar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas. 4.2.1 Definición de Políticas de Seguridad Informática Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización. No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a

Page 39: Carlos Camacho Comercio Electronico

39

reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos. 4.2.2 Elementos de una Política de Seguridad Informática Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante. Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos: • Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. • Objetivos de la política y descripción clara de los elementos involucrados en su definición. • Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. • Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política. • Definición de violaciones y sanciones por no cumplir con las políticas. • Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión. Por último, y no menos importante, el que las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio diversificación del área de negocios, etc. 4.2.3 Parámetros para Establecer Políticas de Seguridad Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos: • Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa. • Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.

Page 40: Carlos Camacho Comercio Electronico

40

• Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. • Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área. • Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente. • Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas. 4.2.4 Razones que Impiden la Aplicación de las Políticas de Seguridad Informática A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática. Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: "más dinero para juguetes del Departamento de Sistemas". Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa. Ante esta situación, los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos. Si se quiere que las políticas de seguridad sean aceptadas, deben integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de la compañía. Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía para la seguridad de la organización, ellas deben responder a intereses y necesidades organizacionales basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informática factores que facilitan la formalización y materialización de los compromisos adquiridos con la organización. 4.3 Privacidad en la red y control de intrusos 4.3.1. Privacidad en la Red Las comunicaciones son la base de los negocios modernos, pues sin las mismas ninguna empresa podría sobrevivir. Por tal razón, es necesario que las organizaciones mantengan sus servidores, datos e instalaciones lejos de los hackers y piratas informáticos.

Page 41: Carlos Camacho Comercio Electronico

41

La temática de la privacidad de las redes ha ido cobrando, desde hace más de una década, un lugar bien importante en el entorno del desarrollo de la informática, ya que las empresas se sienten amenazadas por el crimen informático y busca incansablemente tecnologías que las protejan del mismo, para lo cual destinan partidas en sus presupuestos para fortalecer la seguridad de la información y de las comunicaciones. El mantener una red segura fortalece la confianza de los clientes en la organización y mejora su imagen corporativa, ya que muchos son los criminales informáticos (agrupaciones, profesionales, aficionados y accidentales) que asedian día a día las redes. De forma cotidiana estos hackers aportan novedosas técnicas de intrusión, códigos malignos más complejos y descubren nuevos vacíos en las herramientas de software. 4.3.2 Definición de Privacidad de las Redes Las redes son sistemas de almacenamiento, procesamiento y transmisión de datos que están compuestos de elementos de transmisión (cables, enlaces inalámbricos, satélites, encaminadores, pasarelas, conmutadores, etc.) y servicios de apoyo (sistema de nombres de dominio incluidos los servidores raíz, servicio de identificación de llamadas, servicios de autenticación, etc.). Conectadas a las redes existe un número cada vez mayor de aplicaciones (sistemas de entrega de correo electrónico, navegadores, etc.) y equipos terminales (servidores, teléfonos, computadoras personales, teléfonos móviles, etc.). Así pues, las redes en las empresas, son los medios que permiten la comunicación de diversos equipos y usuarios, pero también están propensas a ser controladas o accesadas por personas no autorizadas. Cuando nos referimos a la privacidad de la red, se evoca al cuidado o medidas establecidas para que la información de los sistemas como puede ser datos de clientes, servicios contratados, reportes financieros y administrativos, estrategias de mercado, etc., no sea consultada por intrusos. 4.3.3 Requisitos para Mantener la Privacidad de las Redes Las redes deben cumplir los siguientes requisitos o características para mantener su privacidad y poder ser más seguras ante las posibilidades de intrusión. 1. Disponibilidad: significa que los datos son accesibles, inclusive en casos de alteraciones, cortes de corriente, catástrofes naturales, accidentes o ataques. Esta característica es particularmente importante cuando una avería de la red puede provocar interrupciones o reacciones en cadena que afecten las operaciones de la empresa. 2. Autenticación: confirmación de la identidad declarada de usuarios. Son necesarios métodos de autenticación adecuados para muchos servicios y aplicaciones, como la conclusión de un contrato en línea, el control del acceso a determinados servicios y datos, la autenticación de los sitios web, etc. 3. Integridad: confirmación de que los datos que han sido enviados, recibidos o almacenados son completos y no han sido modificados. La integridad es especialmente importante en relación con la autenticación para la conclusión de contratos o en los casos en los que la exactitud de los datos es crítica

Page 42: Carlos Camacho Comercio Electronico

42

4. Confidencialidad: protección de las comunicaciones o los datos almacenados contra su interceptación y lectura por parte de personas no autorizadas. La confidencialidad es necesaria para la transmisión de datos sensibles y es uno de los requisitos principales a la hora de dar respuesta a las inquietudes en materia de intimidad de los usuarios de las redes de comunicación. Es preciso tener en cuenta todos los factores que pueden amenazar la privacidad y no solamente los intencionados. Desde el punto de vista de los usuarios, los peligros derivados de los incidentes del entorno o de errores humanos que alteren la red pueden ser tan costosos como los ataques intencionados. La seguridad de las redes y la información puede entenderse como la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, todos los accidentes o acciones malintencionadas, que pongan en peligro la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los correspondientes servicios que dichas redes y sistemas ofrecen o hacen accesibles. 4.3.4 Riesgos o Amenazas a la Privacidad de las Redes Las principales amenazas o riesgos que enfrentan las empresas que utilizan las redes son:

• Interceptación de las Comunicaciones: la comunicación puede ser interceptada y los datos copiados o modificados. La interceptación puede realizarse mediante el acceso físico a las líneas de las redes, por ejemplo, pinchando la línea, o controlando las transmisiones.

• Acceso no Autorizado a Ordenadores y Redes de Ordenadores: el acceso no autorizado a ordenadores o redes de ordenadores se realiza habitualmente de forma mal intencionada para copiar, modificar o destruir datos. Técnicamente, se conoce como intrusión y adopta varias modalidades: explotación de información interna, ataques aprovechando la tendencia de la gente a utilizar contraseñas previsibles, aprovechar la tendencia de la gente a desvelar información a personas en apariencia fiables e interceptación de contraseñas.

• Perturbación de las Redes: actualmente las redes se encuentran ampliamente digitalizadas y controladas por ordenadores, pero en el pasado la razón de perturbación de la red más frecuente era un fallo en el sistema que controla la red y los ataques a las redes estaban dirigidos principalmente a dichos ordenadores. En la actualidad, los ataques más peligrosos se concretan a los puntos débiles y más vulnerables de los componentes de las redes como son sistemas operativos, encaminadores, conmutadores, servidores de nombres de dominio, etc.

• Ejecución de Programas que Modifican y Destruyen los Datos: los ordenadores funcionan con programas informáticos, pero lamentablemente, los programas pueden usarse también para desactivar un ordenador y para borrar o modificar los datos. Cuando esto ocurre en un ordenador que forma parte de una red, los efectos de estas alteraciones pueden tener un alcance considerable. Por ejemplo, un virus es un programa informático mal intencionado que reproduce su propio código que se adhiere, de modo que cuando se ejecuta el programa informático infectado se activa el código del virus.

• Declaración Falsa: a la hora de efectuar una conexión a la red o de recibir datos, el usuario formula hipótesis sobre la identidad de su interlocutor en

Page 43: Carlos Camacho Comercio Electronico

43

función del contexto de la comunicación. Para la red, el mayor riesgo de ataque procede de la gente que conoce el contexto. Por tal razón, las declaraciones falsas de personas físicas o jurídicas pueden causar daños de diversos tipos. como pueden ser transmitir datos confidenciales a personas no autorizadas, rechazo de un contrato, etc.

• Accidentes no Provocados: numerosos problemas de seguridad se deben a accidentes imprevistos o no provocados como: son tormentas, inundaciones, incendios, terremotos, interrupción del servicio por obras de construcción, defectos de programas y errores humanos o deficiencias de la gestión del operador, el proveedor de servicio o el usuario.

4.4 Detección de intrusos Los sistemas computarizados y aplicaciones están en permanente evolución, por tal razón pueden surgir nuevos puntos vulnerables. A pesar de los avances en los sistemas de seguridad, los usuarios no autorizados con herramientas muy sofisticadas tienen grandes posibilidades de accesar las redes, sistemas o sitios de las organizaciones e interrumpir sus operaciones. Actualmente, existen más de 30.000 sitios en Internet orientados a la piratería o intrusión de redes, los cuales ofrecen programas de fácil descarga y acceso que han dejados las puertas abiertas para nuevos ataques. Entre los primeros intrusos o piratas informáticos famosos están Steve Wozniak, Bill Gates y Linus Torvalds, quienes ahora son reconocidos creadores de muchas de las tecnologías informáticas que utilizamos en la actualidad. Estos primeros intrusos de redes amaban la tecnología, sentían la imperiosa necesidad de saber como funcionaba todo y su objetivo era impulsar los programas que trascendieran el objetivo para el cual fueron diseñados. En ese entonces, la palabra intruso o pirata informático no tenía la connotación negativa que tiene hoy, ya que ha desaparecido la ética original que provenía de la simple curiosidad y la necesidad de afrontar desafíos. Los objetivos de los primeros intrusos informáticos no podrían estar más ajenos a los objetivos de los piratas actuales. Lo que motiva a esta nueva generación no parece ser la curiosidad o el afán del conocimiento, como solía ser, al contrario, los motiva la codicia, el poder, la venganza y otras intenciones maliciosas. 4.4.1 Factores que Propician el Acceso de Intrusos a la Redes y Sistemas Los ataques a la seguridad han sobrepasando las estimaciones esperadas, y además del crecimiento de los sitios de Internet relacionados con piratería, también hay otros aspectos que propician esta situación: • Los sistemas operativos y las aplicaciones nunca estarán protegidos. Incluso si se protege el sistema nuevas vulnerabildades aparecerán en el entorno todos los días, como las que actualmente representan los teléfonos, equipos inalámbricos y dispositivos de red. • En las empresas las redes internas son más o menos confiables, ya que los empleados se conectan a la red desde la casa, otras oficinas u hoteles fuera de la empresa, lo cual genera nuevos riesgos.

Page 44: Carlos Camacho Comercio Electronico

44

• Falta de seguridad física en algunas empresas y falta de políticas de seguridad informática. Por ejemplo, muchos empleados se ausentan y dejan desprotegida su computadora. • Los empleados no siempre siguen y reconocen la importancia de las políticas de seguridad: La capacitación y entrenamiento que se les brinde a los empleados no cuenta mucho si ignoran las advertencias sobre los peligros de abrir los archivos adjuntos sospechosos del correo electrónico. • Requerimientos cada vez mayores de disponibilidad de redes y acceso a ellas. 4.4.2 Medidas para Controlar el Acceso de Intrusos Algunas medidas que se pueden poner en práctica para controlar los accesos de intrusos pueden ser las siguientes: • Utilizar un firewall, que no es más que un dispositivo localizado entre la computadora anfitriona y una red, con el objeto de bloquear el tráfico no deseado de la red mientras permite el cruce de otro tráfico. • Utilización y actualización de antivirus. • Actualizar todos los sistemas, servidores y aplicaciones, ya que los intrusos por lo general a través de agujeros conocidos de seguridad. • Desactivar los servicios innecesarios de redes. • Eliminar todos los programas innecesarios. • Analizar la red en busca de servicios comunes de acceso furtivo y utilizar sistemas de detección de intrusos los cuales permiten detectar ataques que pasan inadvertidos a un firewall y avisar antes o justo después de que se produzcan, y • Finalmente, establecer la práctica de crear respaldos o backups. Hay muchos dispositivos de seguridad que pueden utilizar las empresas para contrarrestar las amenazas a las que están expuestas, por eso, con frecuencia muchas terminan utilizando soluciones como los firewalls, sistemas de detección de intrusos, redes virtuales, etc. para obtener la protección total que necesitan en materia de seguridad. Debido al incremento de las amenazas y la naturaleza dinámica de los ataques, es necesario adoptar prácticas eficientes e implementar políticas de seguridad que nos permitan manejar eficientemente este tipo de ataques. 4.4.3 Principales Actividades de los Intrusos o Piratas Informáticos Los comportamientos de los intrusos o piratas informáticos han tomado matices preocupantes. A continuación enumeramos algunas de estas actividades: • Desfiguramiento de los sitios web: esto ocurre cuando se entra al servidor web y se altera o reemplaza la página principal. Los desfiguramientos de los sitios web es una práctica común, pues se lleva a cabo simplemente descargando de Internet un programa que está diseñado para aprovecharse de las vulnerabilidades de los sistemas. • Hurto de la información de las tarjetas de crédito: La información de la tarjeta de crédito puede ser hurtada por medio de las mismas herramientas de ataque que están tras los desfiguramientos de los sitios web. Una vez los piratas informáticos tienen acceso a la red, pueden analizar las bases de datos en busca de archivos que puedan tener información valiosa, como archivos de clientes. Todo archivo que sea interesante para el intruso puede ser descargado a su computadora.

Page 45: Carlos Camacho Comercio Electronico

45

• Ataque a los programas instructores del servidor: Los programas instructores del servidor permiten las comunicaciones bidireccionales entre los servidores y usuarios web. Las instrucciones del servidor también es un objetivo común de los intrusos y lo hacen ejecutando comandos, leyendo los archivos del sistema o modificando los mismos. • Ataques de negación de servicio: la negación de servicio se produce cuando alguien o algo impide que se realice una tarea u operación deseada. Los intrusos o piratas logran esto principalmente con el consumo del ancho de banda, inundando la red con datos, agotando los recursos del sistema, fallas de programación, etc. Ataques de negación distribuida de servicio: se refiere cuando muchas computadoras se asaltan y se les ordena inundar un sitio determinado con paquetes o solicitud de información, negando así el servicio a usuarios legítimos. 4.5Virus y Antivirus 4.5.1. Virus Antes de profundizar en este tema, debemos aclarar que los virus de computadoras son simplemente programas, y como tales hechos por programadores. Son programas que debido a sus características particulares son especiales. Para hacer un virus de computadora no se requiere capacitación especial, ni una genialidad significativa, sino conocimientos de lenguajes de programación para el público en general y algunos conocimientos puntuales sobre el ambiente de programación y arquitectura de las PC’s. Nuestro trabajo capta el problema del virus, desde el punto de vista funcional. En la vida diaria, cuando un programa invade inadvertidamente el sistema, se replica sin conocimiento del usuario y produce daños, pérdida de información o fallas del sistema, reconocemos que existe un virus. Los virus actúan enmarcados por "debajo" del sistema operativo, como regla general, y para actuar sobre los periféricos del sistema, tales como disco rígido, disketteras, ZIP’s CD-R’s, hacen uso de sus propias rutinas aunque no exclusivamente. Un programa normal, por llamarlo así, utiliza las rutinas del sistema operativo para acceder al control de los periféricos del sistema, y eso hace que el usuario sepa exactamente las operaciones que realiza, teniendo control sobre ellas. Los virus, por el contrario, para ocultarse a los ojos del usuario, tienen sus propias rutinas para conectarse con los periféricos de la computadora, lo que les garantiza cierto grado de inmunidad a los ojos del usuario, que no advierte su presencia, ya que el sistema operativo no refleja su actividad en la PC. Una de las principales bases del poder destructivo de estos programas radica en el uso de funciones de manera "sigilosa", oculta a los ojos del usuario común. El virus, por tratarse de un programa, para su activación debe ser ejecutado y funcionar dentro del sistema al menos una vez. Demás esta decir, que los virus no surgen de las computadoras espontáneamente, sino que ingresan al sistema inadvertidamente para el usuario, y al ser ejecutados, se activan y actúan con la computadora huésped. 4.5.2 Definiciones 1."Un virus es simplemente un programa. Una secuencia de instrucciones y rutinas creadas con el único objetivo de alterar el correcto funcionamiento del sistema y, en la inmensa mayoría de los casos, corromper o destruir parte o la totalidad de los datos almacenados en el disco."

Page 46: Carlos Camacho Comercio Electronico

46

2. Un virus es una porción de código ejecutable, que tiene la habilidad única de reproducirse. Se adhieren a cualquier tipo de archivo y se diseminan con los archivos que se copian y envían de persona a persona. Además de reproducirse, algunos virus informáticos tienen algo en común: una rutina dañina, que el virus descarga como una bomba, mientras que las descargas pueden ser simples mensajes o imágenes, éstas también pueden borrar archivos, reformatear el disco duro o causar otro tipo de daño. Si el virus no contiene una rutina dañina, aún puede causar problemas, como tomar espacio libre del disco y de la memoria, y también disminuir el rendimiento de la computadora. Los virus de las computadoras no son más que programas; y estos virus casi siempre los acarrean las copias ilegales o piratas. Provocan desde la pérdida de datos o archivos en los medios de almacenamiento de información (diskette, disco duro, cinta), hasta daños al sistema y, algunas veces, incluyen instrucciones que pueden ocasionar daños al equipo. 4.5.3 Características Hay que recordar que un virus no puede ejecutarse por sí solo, pues necesita un programa portador para poder cargarse en memoria e infectar; asimismo, para poder unirse en un programa portador, el virus precisa modificar la estructura de aquél, posibilitando que durante su ejecución pueda realizar una llamada al código del virus. Las particularidades de los virus: • Son muy pequeños. • Casi nunca incluyen el nombre del autor, ni el registro o copyright, ni la fecha de creación. • Se reproducen a sí mismo. • Toman el control o modifican otros programas. • Es dañino: El daño es implícito, busca destruir o alterar, como el consumo de memoria principal y tiempo de procesador. • Es autorreproductor: A nuestro parecer la característica más importante de este tipo de programas es la de crear copias de sí mismo. • Es subrepticio: Esto significa que utilizará varias técnicas para evitar que el usuario se de cuenta de su presencia. 4.5.4. ¿Quiénes hacen los virus? Los virus informáticos son hechos por personas con conocimiento de programación, pero que no son necesariamente genios de las computadoras. Tienen conocimiento de lenguaje ensamblador y de cómo funciona internamente la computadora. A diferencia de los virus que causan resfriados y enfermedades en humanos, los virus computacionales no ocurren de forma natural, cada uno es programado. No existen virus benéficos. Algunas veces son escritos como una broma, desplegando un mensaje humorístico. En estos casos, el virus no es más que una molestia. Muchas veces son creados por personas que se sienten aburridas, con coraje, como reto intelectual; cualquiera que sea el motivo, los efectos pueden ser devastadores.

Page 47: Carlos Camacho Comercio Electronico

47

4.5.5 Síntomas Más Comunes de Virus La mejor forma de detectar un virus es, obviamente un antivirus, pero en ocasiones los antivirus pueden fallar en la detección. Puede ser que el escaneo no detecte nada y sí el análisis heurístico. Puede ser que no detectemos nada y aún seguir con problemas. En estos casos debemos notar algunos síntomas posibles: • Los programas comienzan a ocupar más espacio de lo habitual. Se reduce el espacio libre en la memoria RAM. El virus al entrar en el sistema, se sitúa en al memoria RAM, ocupando una porción de ella. El tamaño útil y operativo de la memoria se reduce en la misma cuantía que tiene el código del virus. Siempre en el análisis de una posible infección es muy valioso contar con parámetros de comparación antes y después de la posible infección. Por razones prácticas casi nadie analiza detalladamente su PC en condiciones normales y por ello casi nunca se cuentan con patrones antes de una infección, pero sí es posible analizar estos patrones al arrancar una PC en la posible infección y analizar la memoria arrancando el sistema desde un disco libre de infección. • Aparecen o desaparecen archivos. En mayor o menor medida, todos los virus, al igual que programas residentes comunes, tienen una tendencia a "colisionar" con otras aplicaciones, lo que provoca también aparición de mensajes de error no comunes. • Cambia el tamaño de un programa o un objeto. Programas que normalmente funcionaban bien, comienzan a fallar y generar errores durante la sesión. • Aparecen mensajes u objetos extraños en la pantalla. El código viral, ocupa parte de la RAM y debe quedar "colgado" de la memoria para activarse cuando sea necesario. Esa porción de código que queda en RAM, se llama residente y con algún utilitario que analice el RAM puede ser descubierto. • El disco trabaja más de lo necesario. Tiempos de cargas mayores y es debido al enlenticimiento global del sistema, en el cual todas las operaciones se demoran más de lo habitual. • Los objetos que se encuentran en la pantalla aparecen ligeramente distorsionados. Las operaciones se realizan con más lentitud, ya que los virus son programas y como tales requieren de recursos del sistema para funcionar y su ejecución al ser repetitiva, lleva a un enlentecimiento y distorsión global en las operaciones. • Se modifican sin razón aparente el nombre de los ficheros. • No se puede acceder al disco duro. 4.5.6 Clasificación A continuación esbozamos una clasificación que tiende a catalogar los virus actuales, sin intentar crear una clasificación académica, sino una orientación en cuanto a funcionalidad de los virus: • Virus de Macros/Código Fuente: Se adjuntan a los programas fuente de los usuarios y, a las macros utilizadas por: Procesadores de Palabras (Word, Works, WordPerfect), Hoja de Cálculo (Excell, Quattro, Lotus). • Virus Mutantes: Son los que al infectar realizan modificaciones a su código, para evitar ser detectados o eliminados (NATAS o SATÁN, Miguel Angel, por mencionar algunos). • Gusanos: Son programas que se reproducen a sí mismo y no requieren de un anfitrión, pues se "arrastran" por todo el sistema sin necesidad de un programa que los transporte. Los gusanos se cargan en la memoria y se posesionan en una determinada dirección,

Page 48: Carlos Camacho Comercio Electronico

48

luego se copian en otro lugar y se borran del que ocupaban, y así sucesivamente. Esto hace que queden borradas los programas o la información que encuentran a su paso por la memoria, lo que causa problemas de operación o pérdidas de datos. • Caballos de Troya: Son aquellos que se introducen al sistema bajo una apariencia totalmente diferente a la de su objetivo final; esto es, que se presentan como información perdida o "basura", sin ningún sentido. Pero al cabo de algún tiempo, y esperando la indicación programada, "despiertan" y comienzan a ejecutarse y a mostrar sus verdaderas intenciones. • Bomba de Tiempo: Son los programas ocultos en la memoria del sistema o en los discos, o en los archivos de programas ejecutables con tipo COM o EXE. En espera de una fecha o una hora determinadas para "explotar". Algunos de estos virus no son destructivos y solo exhiben mensajes en las pantallas al llegar el momento de la "explosión". Llegado el momento, se activan cuando se ejecuta el programa que las contiene. • Autorreplicables: Son los virus que realizan las funciones más parecidas a los virus biológicos, ya que se autoreproducen e infectan los programas ejecutables que se encuentran en el disco. Se activan en una fecha u hora programadas o cada determinado tiempo, contado a partir de su última ejecución, o simplemente al "sentir" que se les trata de detectar. Un ejemplo de estos es el virus del viernes 13, que se ejecuta en esa fecha o se borra (junto con los programas infectados), evitando así ser detectado. • Infectores del área de carga inicial: Infectan los diskettes o el disco duro, alojándose inmediatamente en el área de carga. Toman el control cuando se enciende la computadora y lo conservan todo el tiempo. • Infectores del sistema: Se introducen en los programas del sistema, por ejemplo COMMAND.COM y otros se alojan como residentes en memoria. Los comandos del Sistema Operativo, como COPY, DIR o DEL, son programas que se introducen en la memoria al cargar el Sistema Operativo y es así como el virus adquiere el control para infectar todo disco que sea introducido a la unidad con la finalidad de copiarlo o simplemente para ver sus carpetas (también llamadas: folders, subdirectorios, directorios). • Infectores de programas ejecutables: Estos son los virus más peligrosos porque se diseminan fácilmente hacia cualquier programa (como hojas de cálculo, juegos, procesadores de palabras). La infección se realiza al ejecutar el programa que contiene al virus, que en ese momento se posesiona en la memoria de la computadora y a partir de entonces infectará todos los programas cuyo tipo sea EXE o COM, en el instante de ejecutarlos, para invadirlos autocopiándose en ellos. Todos estos programas tienen en común la creación de efectos perniciosos, sin embargo, no todos pueden ser considerados como virus propiamente dichos. La barrera entre virus puros y el resto de programas malignos es muy difusa, prácticamente invisible, puesto que ya casi todos los virus incorporan características propias de uno o de varios de estos programas. 4.5.7 Ciclo de Infección Como mencionamos con anterioridad, para que un virus se active en memoria, se debe ejecutar el programa infectado en primer término, para que el virus inicie sus actividades dentro de nuestro sistema. En este caso, no es necesario arrancar ningún programa, sino simplemente abrir un archivo de Word o Excel infectado. El ciclo completo de infección de un Macro Virus sería así:

Page 49: Carlos Camacho Comercio Electronico

49

• Se abre el archivo infectado, con lo cual se activa en memoria. • Infecta sin que el usuario se dé cuanta al NORMAL.DOT, con eso se asegura que el usuario sea un reproductor del virus sin sospecharlo. • Si está programado para eso, busca dentro de la PC los archivos de Word, Excel, etc. que puedan ser infectados y los infecta. • Si está programado, verifica un evento de activación, que puede ser una fecha, y genera el problema dentro de la pc (borrar archivos, destruir información, etc.). • Ahora bien, en el caso de mails vía Internet. Los mails no son programas. Algunos no poseen macros (los que sí poseen macros son los mails de Microsoft Outlook). Aquellos que no tienen lenguaje de macros (NO PUEDEN CONTENER VIRUS). • Los archivos adjuntos asociados al mail pueden llevar virus (siempre que sean susceptibles de ser infectados). Bajen el adjunto, y verifíquenlo. Asegúrense que el antivirus chequee los zipeados o comprimidos si lo adjuntado es un archivo de ese tipo. Si el adjunto es un documento que puede tener macros, desactiven las macros del programa Word antes de abrirlo. Si el adjunto es un archivo de texto plano, pueden quedarse tranquilos. 4.5.8 Medidas de Protección Efectivas Obviamente, la mejor y más efectiva medida es adquirir un antivirus, mantenerlo actualizado y tratar de mantenerse informado sobre las nuevas técnicas de protección y programación de virus. Gracias a Internet es posible mantenerse al tanto a través de servicios gratuitos y pagos de información y seguridad. Hay innumerables boletines electrónicos de alerta y seguridad que advierten sobre posibles infecciones de mejor o menor calidad. Existen herramientas indispensables para aquellos que tienen conexiones prolongadas a Internet, que tienden a proteger al usuario no sólo detectando posibles intrusos dentro del sistema, sino chequeando constantemente el sistema, a modo de verdaderos escudos de protección. 4.6 Antivirus El programa de antivirus debe ser completo, preciso y rápido. Si no es así, usted simplemente no lo utilizará, y dejará a un lado esta actividad, lo cual es muy peligroso. Por ejemplo, en cualquier mes determinado hay de 200 a 300 virus circulando por el mundo. Esa cifra proviene de la WildList, una lista mensual reconocida internacionalmente, que tiene los virus que se dispersan en el mundo "en estado salvaje". El método principal de un analizador de antivirus para atrapar los virus es comparar un código sospechoso con las bases de datos de conocidas firmas de virus. Estas bases de datos incluyen nombres actuales o anteriores en la WildList, así como decenas de miles "zoovirus", que en su mayoría existen en laboratorios, pero que utilizan trucos que pueden ser empleados por futuros virus. Con el propósito de adquirir un buen antivirus, lo primero es verificar el tipo de tecnología aplicada en su desarrollo, actualmente los antivirus utilizan dos técnicas de verificación:

Page 50: Carlos Camacho Comercio Electronico

50

• La conocida técnica de escaneo, consistente en tener una gran base de datos con fragmentos víricos para comparar los archivos con esa inmensa biblioteca del wildlist. • La tecnología heurística es fundamental en estos momentos, y en mi opinión, los antivirus han de ofrecer como alternativa al escaneo común (aún necesario) la búsqueda heurística. Esta técnica permite detectar virus que aún no estén en la base de datos scaning, y es muy útil cuando padecemos la infección de un virus que aún no ha sido estudiado ni incorporado a los programas antivirus. 4.6.1 Definición de Antivirus • Es el programa que se encarga de analizar el contenido de los ficheros y, en caso de detectar un virus en su interior, proceder a su desinfección. También realizan búsquedas heurísticas, esto es, buscar funciones que puedan resultar nocivas para tu ordenador, sin que sean virus reconocidos. • Es una aplicación o programa dedicada a detectar y eliminar virus informáticos. La forma en que protege es la siguiente, el sistema de protección del Antivirus depende del sistema operativo en que se esté trabajando. En DOS se utiliza TSR (Terminate and Stay Resident, programas que terminan y se quedan residentes en memoria), en Windows 95/98 VxD (Virtual Driver) y en NT drivers en modo Kernel. Por término general se puede pensar en un programa que vigila todos y cada uno de los accesos que se realizan a ficheros y discos y antes de autorizarlos avisa de la existencia virus y, en su caso, desinfecta el fichero en cuestión. Si eres muy cuidadoso con los programas que utilizas, la información que introduces a tu computadora y con los lugares que visitas en el Internet, así como intercambiar tus discos en el trabajo o discos de amigos (duda procedencia) es muy posible que nunca tengas problemas con virus, lo que sí, es indispensable que tengas instalado un buen Antivirus. 4.6.2 Los Antivirus Más Buscados Actualmente, los virus no sólo son más potentes que sus predecesores, sino que se propagan más rápido. En los años 80, los virus del sector de arranque se multiplicaban a través del intercambio de discos flexibles. A finales de los 90, el correo electrónico era quien transportaba virus de macros que venían en documentos anexos de Microsoft Word. Ahora el peligro viene principalmente de los gusanos de envíos masivos, se autoreplican y son capaces de secuestrar los libros de direcciones de correo electrónico y autoenviarse a múltiples destinatarios. Por ejemplo, LoveLetter era un virus de guión en Visual Basic. Hoy, la mayoría de los gusanos de correo masivo son programas Win32 independientes, como en el caso de SirCam y Klez. Estos programas son lo peor de todas las infecciones de virus. Por su parte, los virus de los macros están en un distante segundo lugar y los de guión vienen pegados en un tercer lugar. Ahora los virus del sector arranque sólo representan cerca del 1% de las infecciones. Al elegir un antivirus, tomamos en cuenta tres aspectos fundamentales: facilidad de adquisición de las actualizaciones, menor costo posible y facilidad de uso. Atendiendo a

Page 51: Carlos Camacho Comercio Electronico

51

estos tres requisitos, recomendamos en el mismo orden Scan de McAffee que es un producto gratuito y se puede conseguir fácilmente en el Internet o Norton Antivirus para el cual tendrá que invertir algunos dólares. 4.6.3 Antivirus al Rescate A juzgar por la evaluación de siete productos que llevan a cabo, los fabricantes de antivirus, los mismos han respondido bastante bien ante las amenazas: Estos productos son: Etrust EZ Antivirus 5.4, de Computer Associates; Anti-Virus Personal Por 4, de Kaspersky Lab; McAfee Virus Scan 6.02, de Network Associates; Virus Control 5.2, de Norman; Antivirus Platinum 6.25, de Panda; Norton AntiVirus 2002, de Symantec; y PC-cillin 2002, de Trend Micro. Los productos de Norton, Kaspersky y McAfee fueron los que mejor erradicaron los virus, pero Norton se llevó el premio a la mejor compra gracias a su interfaz intuitiva. Además de la clase de virus que el analizador descubre, también es importante la ubicación de éste, por ejemplo, el protector antivirus debe ser capaz de meterse bien dentro de los archivos zip y otros archivos comprimidos, incluso hasta en los archivos zip que estén ubicados dentro de otros archivos zip. También debe revisar los anexos al correo electrónico, y donde quiera que descubra una infección, debe eliminarla sin destruir archivos valiosos. Kaspersky, McAfee, Norton, Panda y PC-cillin interceptan y analizan los anexos al correo electrónico antes de que lleguen a la unidad de disco duro. Pero Norton y PC-cillin sólo funcionan con programas de correo electrónico que cumplan con los requisitos de POP3, mientras que Kaspersky sólo funciona con los clientes de Outlook, Outlook Express y Exchange, de Microsoft, Panda, a su vez, analiza anexos de POP3, Exchange e incluso de AOL. Cuando estos productos encontraron un virus, la mayoría realizó un buen trabajo al quitarles sin dañar archivos, pero Norton fue el único que lo hizo a la perfección. 4.6.4 Conozca Bien su Antivirus Debido a que en todo momento aparecen nuevos virus, es necesario actualizar con facilidad las definiciones. Todos los programas probados, excepto Etrust, ofrecen actualizaciones automáticas programadas. Sin embargo, nuestro tanto a favor es para Norton, que revisa si hay actualizaciones de manera prefijada, al momento de ser instalado y después, cada 4 horas. Norton también gana puntos por tener la interfaz más lógica, de fácil dominio. En virtud de lo anterior, al hacer una evaluación es importante tratar de verificar hasta que punto los diversos antivirus cumplen con las siguientes características: 1. Deben actualizar los patrones o firmas, por lo menos una vez por semana. 2. La empresa que los promueve debe contar con un equipo de soporte técnico con acceso a un laboratorio especializado en códigos maliciosos y un tiempo de respuesta no mayor a 48 horas, el cual me pueda orientar, en mi idioma, en caso de que yo contraiga una infección.

Page 52: Carlos Camacho Comercio Electronico

52

3. Deben contar con distintos métodos de verificación y análisis de posibles códigos maliciosos, incluyendo el heurístico, el cual no se basa en firmas virales sino en el comportamiento de un archivo, y así poder detener amenazas incluso de posibles virus nuevos. 4. Se deben poder adaptar a las necesidades de diferentes usuarios. 5. Deben poder realizar la instalación remota tanto en una red LAN como en una WAN. 6. Deben constar de alguna consola central en donde se puedan recibir reportes de virus, mandar actualizaciones y personalizar a distintos usuarios. 7. Deben ser verdaderamente efectivos para efectos de detección y eliminación correcta y exacta de los distintos virus que puedan amenazar a los sistemas. 8. Deben de permitir la creación de discos de emergencia o de rescate de una manera clara y satisfactoria. 9. No deben de afectar el rendimiento o desempeño normal de los equipos, y de ser preferible lo que se desea es que su residente en memoria sea de lo más pequeño. 10.El número de falsos positivos que se den tanto en el rastreo normal como en el heurístico debe de ser el mínimo posible. 11.Su mecanismo de auto-protección debe de poder alertar sobre una posible infección a través de las distintas vías de entrada, ya sea Internet, correo electrónico, red o discos flexibles, etc. 12.Deben de tener posibilidad de chequear el arranque, así como los posibles cambios en el registro de las aplicaciones. En base a estos parámetros, uno mismo puede poner a prueba los distintos productos que hay en el mercado y de acuerdo a nuestras prioridades sacar conclusiones. 4.6.5 Importancia del Antivirus Actualmente, no es difícil suponer que cada vez hay mas personas que están conscientes de la necesidad de hacer uso de algún antivirus como medida de protección básica. • Desde el punto de vista del administrador, este desea primordialmente tener resultados al problema de administración centralizada. Es decir, desea que un antivirus posea una consola que permita la instalación remota tanto en una red LAN como en una WAN y no verse obligado a instalar el producto a pie en cada una de las estaciones de trabajo. • Desde el punto de vista del usuario final, a quien le interesa no infectarse por ningún motivo y que la protección en memoria del producto sea de lo más eficaz, tanto para detectar y remover cualquier virus que pueda presentarse. Basados en estas necesidades, podemos darles los siguientes tips: 4.6.5.1 Controles • Control de acceso físico a los equipos. • Control de entradas a los programas de la computadora a través de claves de acceso (passwords). • Registro, verificación y control de los diskettes, cd’s que se introducen a la computadora. • Se recomienda algún programa de tipo menú que restrinja los programas que se pueden ejecutar a sólo los autorizados a cada usuario.

Page 53: Carlos Camacho Comercio Electronico

53

4.5.6.2 Bloqueos • Cerradura para floppies "drive lock" • Uso del candado o llave de encendido, si la computadora lo tiene. • Deshabilitar el arranque desde la unidad de diskette. • Deshabilitar completamente las unidades de diskette. • Habilitación de la facilidad de palabra clave (password). • Activar la protección anti-virus en BIOS. Diskettes Estos son puntos muy importantes, ¡prácticamente todos los virus se introducen a una computadora por medio de diskettes! Y en caso de un desastre, las copias de respaldo en diskette serán la salvación de nuestros datos. • Verificar contra virus todos los diskettes que se introduzcan en la computadora, aunque sólo sean de datos. • No ejecutar programas de origen dudoso. • No meter diskettes extraños. • Nunca arranque desde diskette en la operación normal de su computadora. • Nunca dejar puestos diskettes al apagar la computadora. • Tenga un diskette de arranque que esté libre de virus y protegido contra escritura. • Si es necesario arrancar desde diskette, utilice únicamente este diskette. • Proteja contra escritura sus discos del sistema, así como sus discos de programas de aplicación. • Que los usuarios sólo manejen diskettes de datos y nunca de programas. • Instalar nuevos paquetes en una máquina que sirva de conejillo de Indias y que esté un tiempo en observación. • Mantener copias respaldo, tanto de los programas, como de los datos. • Hacer por separado los respaldos de datos y de programas. Vacunas Antivirus • Tener varios programas antivirus, preferentemente con diferentes enfoques. • Utilizar o activar las diversas opciones de protección. • Comprar las versiones actualizadas de las vacunas. • Leer la documentación y manuales de los antivirus. Servicios en Línea • Verificar contra virus todo programa que se transfiera. • Verificar contra virus todo archivo autodescomprimible (aunque sea de datos). Otros • Capacitar a los usuarios en protección contra virus. • Desarrollar un plan de emergencia contra virus que prevea procedimientos o máquinas alternas para el proceso de los datos. • Mantenerse informado, o sea leer sobre el tema.

Page 54: Carlos Camacho Comercio Electronico

54

4.7.Seguridad Cuando hablamos de realizar una evaluación de la seguridad es importante conocer como desarrollar y ejecutar la implantación de un sistema de seguridad. Desarrollar un sistema de seguridad significa "planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa". Las consideraciones de un sistema integral de seguridad debe contemplar: • Definir elementos administrativos • Definir políticas de seguridad ◦ A nivel departamental ◦ A nivel institucional • Organizar y dividir las responsabilidades • Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.) • Definir prácticas de seguridad para el personal. • Plan de emergencia, plan de evacuación, uso de recursos de emergencia como extinguidores. • Definir el tipo de pólizas de seguros. • Definir elementos técnicos de procedimientos. • Definir las necesidades de sistemas de seguridad para hardware y software • Flujo de energía. • Cableados locales y externos • Aplicación de los sistemas de seguridad incluyendo datos y archivos. • Planificación de los papeles de los auditores internos y externos. • Planificación de programas de desastre y sus pruebas (simulación). • Planificación de equipos de contingencia con carácter periódico. • Control de desechos de los nodos importantes del sistema. • Política de destrucción de basura, copias, fotocopias, etc. Para dotar de medios necesarios al elaborar su sistema de seguridad se debe considerar los siguientes puntos: • Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad. • Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos y ambientales. • Elaborar un plan para un programa de seguridad. 4.7.1 Seguridad de su Corre "e" Cada día son más las organizaciones que utilizan el correo electrónico como herramienta fundamental de sus negocios, por ende, es indispensable que se cuente con soluciones confiables y escalables que permitan que las comunicaciones, utilizando este tipo de medio, se realicen de forma segura y confiable. La nueva versión del programa de administración de listas de correo electrónico LISTSERV, viene a satisfacer esta

Page 55: Carlos Camacho Comercio Electronico

55

demanda, pues está repleta de nuevas y mejoradas características, está dotada de protección contra virus y de una mayor facilidad de uso. LISTSERV trabajo bajo una interfaz rediseñada tipo Web que facilita la administración de la lista. Incluye un Experto de Tarea, que guía al administrador de la lista con instrucciones detalladas paso a paso. Asimismo, con la proliferación de los virus a través del correo electrónico, L-Soft ha integrado a su lista el programa de protección contra virus de F-Secure para inspeccionar el correo electrónico.

• ¿Cómo Puede Elaborar un Protocolo de Seguridad Antivirus? La forma más segura, eficiente y efectiva de evitar virus, consiste en elaborar un protocolo de seguridad para sus sistemas PC’s. Un protocolo de seguridad consiste en una serie de pasos que deberá seguir con el fin de crear un hábito al operar normalmente con programas y archivos en sus computadoras. Un buen protocolo es aquel que le inculca buenos hábitos de conducta y le permite operar con seguridad su computadora, aún cuando momentáneamente esté desactivado o desactualizado su antivirus. Este protocolo establece ciertos requisitos para que pueda ser cumplido por el operador en primer término y efectivo en segundo lugar. Le aseguramos que un protocolo puede ser muy efectivo pero si es COMPLICADO, no será puesto en funcionamiento nunca por el operador. El protocolo de seguridad antivirus consiste en: 1. Instalar el antivirus y asegurar cada 15 días su actualización. 2. Chequear los CD-Rom’s ingresados en nuestra PC sólo una vez, al comprarlos o adquirirlos y marcarlos con un fibrón o marcador para certificar el chequeo. Esto solo es válido en el caso de que nuestros CD’s no sean procesados en otras PC y sean regrabables. 3. Formatear todo diskette virgen que compremos, sin importar si son formateados de fábrica, ya que pueden colarse virus aún desde el proceso del fabricante. 4. Revisar todo diskette que provenga del exterior, es decir que no haya estado bajo nuestro control, o que haya sido ingresado en la desketera de otra PC. 5. Si nos entregan un diskette y nos dicen que está revisado, NO CONFIAR NUNCA en los procedimientos de otras personas que no seamos nosotros mismos. Nunca sabemos si esa persona sabe operar correctamente su antivirus. Puede haber revisado sólo un tipo de virus y dejar otros sin controlar durante su escaneo, o puede tener un módulo residente que es menos efectivo que nuestro antivirus. 6. Para bajar páginas de Internet, archivos ejecutables, etc., definir siempre en nuestra PC una carpeta o directorio para recibir el material. De ese modo sabemos que todo lo que bajemos de Internet siempre estará en una sola carpeta. Nunca ejecutar o abrir antes del escaneo. 7. Nunca abrir un adjunto de un e.mail sin antes chequearlo con nuestro antivirus. Si el adjunto es de un desconocido que no nos avisó previamente del envío del material, directamente borrarlo sin abrir. 8. Al actualizar el antivirus, verificar nuestra PC completamente. En caso de detectar un virus, proceder a verificar todos nuestros soportes (diskettes, CD’s, ZIP’s, etc.)

Page 56: Carlos Camacho Comercio Electronico

56

9. Si por nuestras actividades generamos grandes bibliotecas de diskettes conteniendo información, al guardar los diskettes en la biblioteca, verificarlos por última vez, protegerlos contra escritura y fecharlos para saber cuándo fue el último escaneo. 10. Haga el backup periódico de sus archivos. Una vez cada 15 días es lo mínimo recomendado para un usuario doméstico. Si usa con fines profesionales su PC, debe hacer backup parcial de archivos cada 48 horas como mínimo. Backup parcial de archivos es la copia en diskette de los documentos que graba.

• Etapas para Implantar un Sistema de Seguridad Para que su plan de seguridad entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguientes 8 pasos: 1. Introducir el tema de seguridad en la visión de la empresa. 2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes. 3. Capacitar a los gerentes y directivos, contemplando el enfoque global. 4. Designar y capacitar supervisores de área. 5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel. 8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.

• Beneficios de un Sistema de Seguridad Los beneficios de un sistema de seguridad bien elaborados son inmediatos, ya que la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos: • Aumento de la productividad. • Aumento de la motivación del personal. • Compromiso con la misión de la compañía. • Mejora de las relaciones laborales. • Ayuda a formar equipos competentes. • Mejora de los climas laborales para los RR.HH.

• Disposiciones que Acompañan la Seguridad Desde el punto de vista de seguridad, se debe contar con un conjunto de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse situaciones de riesgo, a saber: • Obtener una especificación de las aplicaciones, los programas y archivos de datos. • Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso. • Prioridades en cuanto a acciones de seguridad de corto y largo plazo.

Page 57: Carlos Camacho Comercio Electronico

57

• Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que los programadores no cuenten con acceso a la sección de operación y viceversa. • Que los operadores no sean los únicos en resolver los problemas que se presentan.

Page 58: Carlos Camacho Comercio Electronico

58

CAPITULO V SOLUCIONES BASADAS EN CLAVE PUBLICA

Con "clave pública" o "clave asimétrica" criptografía, sin embargo, cada persona recibe un par de claves, conocida como la clave pública y la clave privada. La clave pública se genera a partir de la clave privada utilizando un complejo algoritmo, tras lo cual la clave pública puede ser publicado, mientras que la clave privada se mantiene en secreto.

Las matemáticas de la criptografía de clave pública son sumamente complejas, y más allá del alcance de este documento, por lo que simplemente se va a tener que confiar en mí en esto - cualquier mensaje cifrado con una clave pública determinada sólo puede ser descifrado usando la clave privada correspondiente, y no hay manera conocida para deducir la clave privada de la clave pública. Honestidad - esto realmente funciona.

Ahora bien, si Bob quiere enviar un mensaje a Alice (Alice y Bob son la industria favorito par la criptografía), se cifrará utilizando la clave pública de Alice (que pueden ser publicados en un directorio o distribuidos a través de correo electrónico no garantizados). La única persona que puede descifrar el mensaje resultante es el titular de la clave privada adecuada - Alice.

La necesidad de emisor y el receptor para compartir información secreta se elimina, ya que todas las comunicaciones sólo suponen una clave pública y clave privada no es siempre transmitida o compartida. El más conocido y más utilizado tecnologías clave asimétrica se Diffie-Hellman (para el intercambio de claves) y RSA (para el cifrado y firma).

Aunque con el máximo nivel de seguridad, criptografía de clave pública es notoriamente pesados sobre los recursos del sistema, sobre todo cuando se trabaja en mensajes de gran tamaño. Por motivos de rendimiento, por lo tanto, RSA se utiliza generalmente sólo para el intercambio de claves, mientras que un sistema de cifrado de clave secreta convencionales (como DES) se utiliza para la mayor parte del mensaje.

Supongamos que Alice desea enviar un mensaje cifrado a Bob. Ella primero cifra el mensaje con DES, utilizando una elegidos al azar del DES "secreto" clave que puede ser diferente para cada mensaje enviado. Luego se usa la clave pública de Bob para cifrar la clave DES. El mensaje cifrado DES y el cifrado de clave DES-RSA en conjunto forman una digital "sobre" y se les envía a Bob. Al recibir el sobre digital, Bob desencripta la clave DES con su clave privada, por último con la clave DES para desencriptar el mensaje mismo.

Page 59: Carlos Camacho Comercio Electronico

59

CAPITULO VI EQUIPOS CERT, TIGER, TEAMS 6.1 Cert El equipo de respuesta para emergencias informáticas (esCERT e IRIRS-CERT) es un equipo creado por el Ministerio de Ciencia y Tecnología a través de la Superintendencia de Servicios de Certificación Electrónica. En conjunto con la Academia trata de resolver los incidentes informáticos en la Administración Pública; así como difundir información de cómo neutralizar incidentes, tomar precauciones para las amenazas de virus que puedan comprometer la disponibilidad y confiabilidad de las redes. Existen dos equipos en España que provienen del CERT (creado en 1988 por DARPA), el esCERT y el IRIS-CERT. esCERT [editar]El esCERT, creado a finales de 1994 y cuyo director es Manuel Medina, es una sede española que proviene del CERT (que reúne a CERTs de todo el mundo, 54 de sus 90 miembros son europeos). Se dedica a la seguridad de las empresas, los hay también de muchos tipos: autofinanciados, dependientes de universidades, de empresas, de gobiernos. esCERT en el ámbito mundial participa en el FIRST (Forum of Incidence and Response Security Teams), principal foro de coordinación de los diferentes CERTs de todo el mundo. Uno de los problemas de esta asociación es el poco capital, según el estudio "eEurope - Co-operation amongst national CERTs", de la Comunidad Europea. Este equipo de seguridad para la coordinación de emergencias en redes telemáticas nace como primer centro español dedicado a asesorar, prevenir y resolver incidencias de seguridad en entornos telemáticos. IRIS-CERT [editar]El IRIS-CERT creado en 1994, cuyo colaboradores son los mismos que el esCERT. Está orientado a la comunidad científica, por ello depende del Ministerio de Ciencia y Tecnología. RIS-CERT es miembro del FIRST desde el 11 de febrero de 1997. Actualmente participa activamente en el Task Force auspiciado por TERENA, TF-CSIRT, para promover la cooperación entre CSIRTs en Europa. Tanto esCERT como IRIS-CERT empezaron con muy pocas personas contratadas ya que no eran muy frecuentes los incidentes informáticos. Hoy día cada una de las organizaciones tiene incluso distintos grupos de trabajo en distintos lugares de España. Los productos y servicios del esCERT e IRIS-CERT incluyen asistencia técnica 24 horas al día para responder a problemas o incidentes informáticos, asistencia sobre vulnerabilidad de productos, documentos técnicos y cursos de formación. Además mantiene listas de correo y ofrece un servidor de FTP anónimo. 6.2 Tiger Versión 10.4: "Tiger"

Mac OS X v10.4 "Tiger" se puso a la venta el 29 de abril de 2005. Contiene más de 150 nuevas mejoras, pero como sucedió con el lanzamiento de Panther, algunas máquinas antiguas han dejado de ser soportadas; en particular, cualquier equipo Apple que no cuente con conexión FireWire no está ya soportado en Tiger.68 69 Como curiosidad cabe comentar que Apple dispone a partir de Tiger, de una versión "paralela" compilada para

Page 60: Carlos Camacho Comercio Electronico

60

procesadores Intel, si bien, teóricamente, sólo podrá instalarse bajo ciertas restricciones de hardware y en procesadores con soporte SSE3. Esta versión apareció en forma oficial el día 10 de enero del 2006 con los primeros equipos "Mac Intel": El iMac Core Duo (ex iMac G5), Mac mini Core Solo y Core Duo (ex Mac mini G4) además de los nuevos portátiles denominados MacBook y MacBook Pro, ambos equipados con procesadores Intel Core Duo. También han existido versiones para G4 de este sistema operativo, incluida al menos en los últimos PowerBook G4 a la venta.

Las aplicaciones incluidas en versiones anteriores fueron mejoradas.70 Entre lo más destacable se tiene: Spotlight (sistema de búsqueda basado en contenidos y metadatos), Dashboard (conjunto de miniaplicaciones para realizar tareas comunes y ofrecen acceso instantáneo a la información), iChat (soporte para el códec de vídeo H.264 para la realización de vídeoconferencias de hasta 4 personas. Además, también permite realizar audioconferencias de hasta 10 personas), QuickTime 7 (soporte para H.264 y una interfaz completamente rediseñada), Safari (incorpora soporte para RSS, mayor velocidad y seguridad, etc.).

Se introdujeron las siguientes programas y tecnologías:70 Automator (sistema que permite llevar a cabo de forma eficaz y sencilla toda clase de tareas manuales y repetitivas de forma automática y sin necesidad de conocimientos de programación), Core Image y Core Video (tecnologías avanzadas de procesamiento de imágenes en tiempo real), soporte de memoria de 64 bits (para los nuevos G5, usando el sistema LP64), utilidades Unix actualizadas (como cp y rsync, que pueden preservar los metadatos en HFS Plus y resource fork) y un sistema extendido de permisos usando listas de control de acceso.

Page 61: Carlos Camacho Comercio Electronico

61

CAPITULO VII EMPRESAS QUE SE DEDICAN A LA SEGURIDAD DE LOS WEBS

El punto crucial entre el exito y el fracaso de una aplicacion web, radican en su mayoría, en el aspecto de la seguridad.

Muchas aplicaciones webs hoy muy populares, en su momento fueron no mas que un queso gruyere que la comunidad fue parcheando poco a poco. Pero, no todos los proyectos tienen la misma suerte de una comunidad que aporta para el crecimiento… hay otras comunidades que prefieren aprovecharse de esa oportunidad.

Por otro lado, no toda vulnerabilidad es realmente una vulnerabilidad con chances de ser aprovechada, sino que mas bien a la hora de realizar un escaneo de seguridad, podemos encontrarnos con que con determinados escenarios (privilegios, sesiones, etc) algunas vulnerabilidades existen y otras no. Un ejemplo de esto será que un Administrador tiene acceso de escritura, lectura y ejecución… y claro, si no lo tiene, difícilmente pueda realizar su tarea.

El articulo publicado por Security Pro News se enfoca básicamente en como detectar falsos positivos, como no alarmarse, y finalmente como dedicir un plan de acción a la hora de analizar la seguridad de nuestra aplicacion web.

Page 62: Carlos Camacho Comercio Electronico

62

CAPITULO VIII TECNOLOGIAS PARA LA SEGURIDAD

Mx One Antivirus 4.5|

Categorías: Antivirus, Software

Ya se encuentra disponible para descargar Mx One Antivirus 4.5, el popular antivirus diseñado para proteger los dispositivos de almacenamiento extraíble como memorias usb, mp3, mp4, memorias M2, SD , microSD, Entre muchos más dispositivos de una forma eficaz y completamente gratuita.

En esta nueva versión número 4.5, Mx One Antivirus ofrece las siguientes novedades:

• Optimizacion al motor de escaneo mas rendimiento y capacidad de detección • Optimizaciones el motor de análisis del sector de arranque • Optimizaciones a la heurística • Corrección en errores de escaneo • Corrección internas de estabilidad • Nueva opción para aliminar todos los virus detectados con 1 clic • Informe de firmas obsoletas • Sistema de actualizaion guardián actualizado y mejorado • Cambios internos en el modulo guardián • Nuevas ventanas informativas del modulo guardián • Diseño retocado • Ejecución mas rapida • Actualizaciones 25% mas rapidas

Page 63: Carlos Camacho Comercio Electronico

63

QualysGuard Malware Detection, escanea tu sitio web en busca de malware|

Categorías:Servicios web

En la lucha contra el malware no sólo los usuarios tienen que tomar medidas de protección, también los dueños de sitios web tiene que velar porque su sitio no sea un propagador de malware.

QualysGuard Malware Detection es un servicio web gratuito que escanea de forma proactiva cualquier sitio web en busca de infecciones de malware e identifica el fragmento de código vulnerable para la eliminación rápida.

Mediante la presentación de informes en profundidad y la alerta automática cuando se presente alguna amenaza, el servicio web ayuda a las empresas a garantizar que sus usuarios estén seguros.

Para utilizarlo en tu sitio web lo primero que tienes que hacer es registrarte. Después de esto puedes agregar el título y la URL del sitio web. Para verificar que tienes algo que ver con el sitio web que ingresaste, tienes que dar tu correo electrónico con el dominio del sitio. Lo demás son parámetros del escaneo, como la frecuencia, la profundidad, máximo de páginas, etc.

QualysGuard Malware Detection debería ser un elemento fijo en los controles de mantenimiento de cualquier sitio web.

Page 64: Carlos Camacho Comercio Electronico

64

Oracle publica un parche de seguridad para Java

Categorías:Actualizaciones

Viendo las críticas que le llegaban por no parchear una vulnerabilidad crítica en Java, Oracle lanzó hoy una actualización de emergencia que elimina la amenaza de día-cero.

El parche se produce menos de una semana después de que Sun le dijo a un investigador de Google que no consideraba la cuestión lo suficientemente grave como para justificar un parche fuera del ciclo de actualización prevista para el mes de julio y menos de un día después de que los investigadores hallaran a un sitio web de letras de una canciones explotando dicha vulnerabilidad.

Para instalar el parche de inmediato, utiliza la función de actualización manual de Java. En Windows, esto se puede hacer desde Inicio> Panel de control> Java> ficha Actualización y haz clic en el botón Actualizar ahora. No te olvides de desmarcar la casilla de instalación de Yahoo o Bing, a no ser que quieras tener instalada la barra de herramientas de estos servicios

Page 65: Carlos Camacho Comercio Electronico

65

Variadas actualizaciones en Debian Linux

• 20 de April 2010 • Categorías:Actualizaciones, Software

Debían publicó el pasado sábado una actualización de seguridad que soluciona numerosas vulnerabilidades en paquetes de sus distribuciones de Linux lenny (estable) y sid.

Dicha actualización de seguridad corrige diversos fallos encontrados en las aplicaciones phpMyAdmin, apache2 y kdm.

Por esto y otros motivos se recomienda actualizar el sistema a través de las herramientas automáticas apt-get.

Page 66: Carlos Camacho Comercio Electronico

66

CAPITULO IX DEFINICIONES Y ESTRATEGIAS BASICAS DE MARKETING EN INTERNET

Estrategia de marketing en Internet no es otra cosa que el conjunto de decisiones relacionadas con las acciones de comunicación, de promoción, de relaciones y acciones comerciales en Internet, tendentes a conseguir un objetivo de negocio concreto previamente fijado.

De la definición de estrategia de marketing genérica: Proceso que permite a una organización concentrar unos recursos limitados en grandes oportunidades para incrementar y conseguir una ventaja competitiva sostenible en el tiempo. De aquí podemos extrapolar dicho concepto limitando el campo de actuación de las acciones de marketing que integrarán la estrategia a Internet, en sus versiones 1.0 e Internet 2.0.

Para entender un poco más el efímero concepto de estrategia quiero compararlo con el concepto de táctica o acción de marketing y a la vez utilizar un ejemplo lo más visual posible, para terminar de entender correctamente el tema de estrategia de marketing que tantas página se libros y bits se le han dedicado.

Tal como se habla en la definición de estrategia de marketing, al inicio de este pequeño artículo, ese conjunto de acciones tiene un objetivo final, un objetivo que afecta al negocio, a largo, medio o corto plazo y en este sentido déjame poner el ejemplo de plantearse cómo objetivo de muestro ejemplo el llegar a New Yok desde Madrid, en un plazo de tiempo no superior a 30 días.

En este objetivo trazaremos una estrategia a seguir para conseguirlo: Que en nuestro caso podría ser el trazado, la ruta o el camino a seguir para conseguir nuestro objetivo, definiendo eso sí los recursos, limitaciones, presupuesto, ambiente y elementos que influirán en nuestro viaje.

Es decir que la estrategia es "el camino"

Y ¿dónde queda la táctica o las acciones de marketing? Podríamos hablar que las acciones de marketing son aquellos medios que utilizaremos para recorrer el camino trazado cuando cuando planeábamos nuestro viaje, es decir cuando definíamos la estrategia para conseguir el objetivo.

Resumiendo:

- El plan de viaje (camino a seguir) IGUAL a Estrategia - Los medios que utilizaremos para recorrer ese camino IGUAL a Táctica

9.1 ¿Qué se necesita para definir una buena estrategia de marketing? También en Internet.

De nuestro ejemplo visual se deduce rápidamente que para definir correctamente una estrategia de marketing de éxito se precisa:

Page 67: Carlos Camacho Comercio Electronico

67

(a) Tener un objetivo bien definido, claro, conciso y limitado en el tiempo

(b) Realizar una análisis del entorno, un estudio de mercado si se prefiere que nos muestre el medio ambiente en el que desarrollaremos la estrategia de marketing.

(c) Resumir el estudio de entorno en una ANALISIS DAFO que nos permita tener un cuadro rápido de situación

(d) Planear varias rutas con sus alternativas y analizar cómo estas repercuten en cada uno de los elementos externos y prever cómo estos elementos externos reaccionan. A veces una reacción no prevista, por ejemplo de la competencia, puede arruinar toda la estrategia, por lo tanto será bueno intentar vislumbrar las posibilidades.

(e) Evaluar los recursos necesarios y nuestra capacidad de conseguir los medios (acciones de marketing) que nos permitan poner en marcha nuestra estrategia de marketing.

(f) Finalmente tomar una decisión y ponerse en marcha sin demora.

- - -

La profundidad de la estrategia, otro concepto a tener en cuenta, dependerá expresamente la cantidad de tiempo previsto en el que la estrategia estará actuando, las variables de nuestro mix de marketing a las que afecte y esencialmente su capacidad o no de modificar, reforzar, ampliar o cambiar variables del negocio, tan estratégicas cómo la marca y el posicionamiento. En este sentido una estrategia de marketing tendrá más o menos profundidad conforme incida más en estos tres aspectos.

Page 68: Carlos Camacho Comercio Electronico

68

CAPITULO X MARKETING DIRECTO CON E-MAIL Y NEWSLETTERS

10.1 Definición de Marketing Directo

¿Qué es el marketing directo?

El marketing directo es la comunicación a través de determinados medios que introduce la posibilidad de suscitar una reacción.

El marketing directo tiene dos objetivos: Ganar clientes y fomentar la fidelidad de los mismos. Por su parte, el objetivo de la fidelidad de los clientes puede estar dirigido a que repitan la compra o a mantener la adquisición permanente de un producto.

También aquellas organizaciones cuyo objetivo primordial no es la venta de productos, desarrollan el marketing directo: para ganar socios, patrocinadores y para la información y formación de opinión.

10.2 Marketing directo en el marketing mix

Los mercados se encuentran en continuo movimiento. Las empresas se ven obligadas a adaptarse a nuevas circunstancias, motivadas por ejemplo por nuevos competidores o por nuevos productos. Dentro del área del marketing, a la hora de la fijación de productos y de precios, las empresas pueden reaccionar en el campo de la distribución o de la comunicación.

Aunque el marketing directo es una forma determinada de comunicación, su puesta en práctica puede tener importancia en otros ámbitos: así, el marketing directo puede ser parte integrante de la estrategia de distribución y de precios, cuando, por ejemplo, la venta directa de un producto puede ahorrar el servicio externo, permitiendo así la oferta de productos a unas mejores condiciones.

10.3 ¿Cómo funciona el marketing directo?

El marketing directo es un diálogo directo. A través suyo, las empresas quieren establecer un “diálogo” mutuo entre ellas y los clientes (potenciales) y mantener este contacto el tiempo que sea posible. A través del marketing directo, las empresas pueden ajustarse a los deseos del cliente de acuerdo con ofertas adaptadas a sus necesidades y ofrecer un trato individual.

La pregunta de si el marketing directo alcanza los objetivos marcados, puede determinarse fácilmente por la respuesta, lo cual constituye la ventaja más sobresaliente de esta forma de comunicación. La “cuota de respuesta”- es decir, la cantidad de reacciones positivas a una medida de comunicación – y el “cost-per-order” – es decir, los costes por pedido realizado – son las palabras clave en aquellas empresas que emplean el marketing directo.

Page 69: Carlos Camacho Comercio Electronico

69

Sin embargo, hoy por hoy el marketing directo no se limita únicamente al objetivo de obtener una cuota de respuestas lo más alta posible. Gracias al marketing directo se puede hacer llegar contenidos que pueden estimarse incluso cuando no se formaliza un pedido o cuando no puede formalizarse. Por este motivo, el marketing directo se utiliza con frecuencia para la promoción de la imagen.

10.4 ¿Qué cuota de respuesta cabe esperar?

Independientemente de si las acciones de marketing directo van dirigidas a empresas o a clientes privados, la cuota de respuesta depende de tres factores:

Elección y formación del medio publicitario Cuanto mayor sea la preparación de una campaña de marketing directo, mayor será la cuota de respuesta. De este modo, unos catálogos (extensos) alcanzan una cuota de respuesta que oscila entre un 5 y un 30%. Unos mailings sencillos alcanzan cuotas que oscilan entre un 1 y un 3%.

Objetivos publicitarios Cuanto más se acerque el objetivo publicitario al objetivo de suscitar una compra, tanto menor será la cuota de respuesta. Ejemplo: un número relativamente alto de destinatarios reacciona ante la posibilidad de recibir un folleto gratuito. En el caso de folletos o de catálogos sujetos a precios, el número de respuestas baja de manera considerable. La cuota de respuesta es aún menor en el caso de que se exhorte directamente a los destinatarios a realizar una compra.

Volumen de pedidos y necesidad de aclaración Cuanto más alta sea la facturación que una empresa obtenga de un cliente típico, tanto menor será la cuota de respuesta. Ello puede explicarse por el hecho de que la necesidad de información antes de formalizar la compra de un producto crece ¿A quién se le ocurriría comprar una costosa maquinaria de fábrica vía carta y cupón respuesta?

10.5 Importancia del marketing directo

En los últimos años, la importancia del marketing directo ha crecido de un modo significativo en el mundo. En el mercado publicitario español, en marketing no convencional se invirtieron en 2004 exactamente 6.693,6 millones de euros. (un 52,1% del total de la inversión publicitaria española). De esta cifra, 3.096,89 millones de euros (un 24,10 %) fueron a parar a medios de marketing directo. Compare: la TV sólo obtuvo 2.617,8 millones, los diarios 1.583,7, la publicidad en radio alcanzó los 540,2 millones de euros…

La explicación a este hecho hay que buscarla en una mayor competencia en diversos mercados, que ha hecho necesaria la comunicación individual con el cliente, y en el deseo de muchas empresas anunciantes de medir el éxito de los gastos publicitarios.

Los expertos cuentan con que en un futuro, un 75% de todos los gastos publicitarios se dirigirán al marketing directo, reservándose solamente un 25% para la publicidad tradicional.

Page 70: Carlos Camacho Comercio Electronico

70

10.6 E-mail Marketing El Marketing directo suma Tecnología para una mejor comunicación El E-mail Marketing es el medio de comunicación que utiliza el correo electrónico como soporte. Si bien su uso más rudimentario se ha orientado al envío de e-mails masivos, esta táctica de marketing directo apunta al envío de información a una cantidad ilimitada de usuarios, en forma instantánea, pero personalizando la propuesta en función del perfil de cada uno de los destinatarios del mensaje, con muy poco presupuesto. Dentro de las principales ventajas del E-mail marketing se destacan: Reducción de costos: La utilización del e-mail marketing permite reducir y hasta eliminar costos en todos los pasos de una campaña aumentando la eficiencia y la competitividad. Reducción de tiempos: Las campañas de e-mail marketing pueden ser efectuadas en pocos días y con resultados medibles en tiempo real. Las tasas de respuesta para este tipo de campañas se logran en un 80% durante las primeras 48 hs., en comparación con las piezas tradicionales de marketing que tardan de 6 a 8 semanas. Adaptable a distintos objetivos comunicacionales: El e-mail marketing puede ser utilizado en diferentes formatos de comunicación, como ser: • Resúmenes de cuenta personalizados • Newsletters • Invitaciones a eventos • Revistas electrónicas • Ofertas de productos y servicios • Encuestas de opinión • Encuestas de satisfacción Personalización rentable: La correcta definición del perfil del destinatario asegura el éxito de cualquier acción y reduce el costo ya que elimina el costo de los envíos no efectivos Medio directo: La recepción es realizada únicamente por la persona objeto de la comunicación Mínima inversión: Se reduce la inversión necesaria dado que este método elimina los costos fijos de realización, tiene un mínimo costo por contacto y permite la planeación de gastos y el control total de la inversión Universalidad: Posibilita el contacto inmediato con cualquier parte del mundo. No hay ningún otro medio que logre este nivel de universalidad a un costo tan extraordinariamente bajo Proactividad: A diferencia de herramientas reactivas como la web o los banners publicitarios el e-mail es proactivo dado que lleva el mensaje directamente al destinatario y no al contrario.

Page 71: Carlos Camacho Comercio Electronico

71

Medio no intrusivo: Recibir una comunicación deseada hace que ésta no sea intrusiva y ello asegura el éxito de la campaña. Siempre hay que seguir una de las reglas básicas de la nueva comunicación online: los envío se realizan sólo a aquellos receptores que así lo desean y sobre el contenido que desean. Alto nivel de respuesta: Las campañas de permission marketing resultan tener mayor tasa de respuesta que otros tipos de publicidad online y que el marketing directo tradicional. Medición eficaz de resultados: Permite seguir con total exactitud y en tiempo real los resultados de una campaña en toda su extensión. Buen Complemento para otras herramientas: Puede ayudar para crear recordación de marca, testear e investigar, derivarlos a un sitio y generar tráfico, generar leads, crear bases de datos, incrementar las ventas y retener clientes. Más del 95% de las grandes y medianas empresas de Estados Unidos están utilizando el e-mail como una herramienta de comunicación con el consumidor ya que permite, a muy bajo costo, promover el cross-selling, up-selling y apoyar las estrategias de marketing tradicional. 10.7 NEWSLETTERS

Una “newsletter” o boletín electrónico en castellano, es una página de contenido que se suele recibir de forma periódica en texto plano o en código html y que contiene información de la página web que la emite, consistente en información, promoción comercial y/o publicidad.

La newsletter se recibe en el buzón de correo del destinatario, quien previamente se tiene que haber suscrito voluntariamente a dicho servicio en la página web que la emite o presta el servicio. A esta opción de “lo quiero, lo pido”, se le conoce en inglés como “opt-in”.

El usuario suscrito a un servicio de boletín electrónico debe poder darse de baja en cualquier momento (derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales -derechos ARCO-) mediante un procedimiento sencillo y gratuito. De no ser así podremos denunciar el hecho a la Agencia Española de Protección de Datos (AEPD).

La LSSI dice al respecto (artículo 21.2):

-"El prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija".

LSSI La Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) dedica todo su Título III a las newsletters o

Page 72: Carlos Camacho Comercio Electronico

72

comunicaciones comerciales por vía electrónica, las cuales deberán ser claramente identificables como tales y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable.

-En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra publicidad o la abreviatura publi.

-Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas

Page 73: Carlos Camacho Comercio Electronico

73

CAPITULO XI MARKETING VIRAL A TRAVÉS DE LA RED

11.1 Marketing Viral en Internet: ¿Qué funciona en el Marketing Viral?

Las campañas de marketing viral en Internet bien enfocadas son las que producen el mayor número de visitas a un sitio Web al menor coste posible. En ocasiones el factor suerte provoca el éxito, pero en la mayoría de los casos, una adecuada planificación de la estrategia a seguir y de las herramientas a utilizar es la clave del éxito de una campaña de marketing viral en Internet.

El Marketing viral en Internet es una estrategia más dentro del mix de herramientas que tenemos a disposición en el marketing digital. El concepto “marketing viral” se refiere a la idea que los usuarios pasarán y compartirán los contenidos fácilmente. Con el marketing viral nuestras campañas se propagan como una virus a través de la red. Al ser los propios usuarios quienes comparten y transmiten el mensaje publicitario los costes de esta estrategia son tremendamente bajos o nulos. En ocasiones se pueden obtener más de 1000 veces más impactos o impresiones que una campaña tradicional en Internet. Facilidad de compartir y distribuir: Lo más importante en una campaña de marketing viral? Toda campaña de marketing viral en Internet debe ser factible de ser compartida o transmitida de un usuario a otro. Mientras más fácil le pongamos a los usuarios la posibilidad de pasar un mensaje a otro, mayor alcance y propagación tendrá la campaña. Algunos ejemplos de lo que significa “fácil de compartir”: -Si publicamos un artículo súper interesante en un blog debemos permitir que con pinchar en un botón el lector puede reenviar a un amigo dicho artículo -Si publicamos un vídeo debemos procurar que éste se pueda descargar en un formato compatible por la mayoría de usuarios y adicionalmetne que pueda ser reenviado con facilidad a otros usuarios. -Si publicamos una imagen que esta pueda ser descargada y reenviada con facilidad. -Que el dominio web del site que queremos que se propague de forma viral sea fácil de dictar o recordar por el usuario para ser recomendada a otros usuarios. -Si creamos una aplicación o un widget que este se pueda instalar en cualquier sistema operativo. -Si creamos un artículo que este se pueda agregar a las redes sociales o a los marcadores sociales más importantes de la red

• ¿Qué tipo de herramientas o técnicas son las que mejor funcionan como contenidos virales?

Page 74: Carlos Camacho Comercio Electronico

74

El Test o Encuesta: el gusanillo de medir conocimientos de forma competitiva Los usuarios les encanta rellenar cuestionarios o test donde se demuestre el conocimiento sobre un tópico o tema. Sobretodo el test tiene mayor interés cuando se puede cuantificar el puntaje obtenido y compararlo con otros usuarios que han participado. Si un usuario ha obtenido un buen ranking en el test se sentirá motivado en reenviarlo a otro amigo para que también lo complete. Al día de hoy existen varias aplicaciones online que nos permite crear encuestas y test personalizados y con múltiples funciones. Herramientas o aplicaciones: cómo hacer la vida más fácil a nuestros usuarios Los usuarios les encanta las cosas que le hacen más fácil la vida en Internet. Ofrecer una aplicación que resuelva alguna tarea de nuestros potenciales clientes en la red es una carnada perfecta para fidelizarlos y para propagar nuestra marca. También podemos ofrecer tutoriales, guías especializadas, etc. cuyos contenidos son bien valorados y en consecuencia apetecibles de compartir. Las Listas: Los artículos más leídos en Internet A los usuarios les encanta la información en listas. Los listados son fáciles y rápidos de leer, resumen muy bien la información y despiertan la curiosidad. Sobretodo cuando un listado se encuentra en un formato de ranking despierta más atención en el usuario. Artículos con títulos como “Los 10 mejores”, “Las 20 cosas que no puede dejar de…”, “Los 15 típicos errores de” son los más leídos y propagados por la red. Videos Virales: el momento que nos alegra el día Son muchos los elementos que pueden convertir un video en viral. Los que mejor funcionan radican en que un video sea humorístico y corto. Normalmente la manera de difundirlo es a través de los portales de alojamiento y publicación de videos ya que son portales con miles de visitas diarias. En muchas ocasiones estos videos son publicados por las cadenas de televisión y se multiplica su efecto viral. Juegos Online: los 5 minutos al día que necesitamos para desconectar Los juegos online esta obteniendo una popularidad significativa en los últimos años. Cada vez más se pueden programar juegos más complejos sin necesidad de aumentar el peso de los archivos que lo componen haciendo que su descarga y jugabilidad sean lo más cómodos posibles. Asimismo ha crecido la factibilidad de reenviar los juegos online a otros usuarios. Dentro de los juegos online podemos aplicar una de las mejores técnicas de publicidad como es el Advergaming, que consiste en usar videojuegos para publicitar una marca, producto, organización o idea. Uno de los elementos que hacen que un juego online sea más viral es la posibilidad de registrar el puntaje obtenido y visualizarlo a través de un ranking con los mejores jugadores.

Page 75: Carlos Camacho Comercio Electronico

75

• Marketing Viral: ¿Qué estamos haciendo para convertir nuestros contenidos web en virales?

Erroneamente, el marketing viral esta asociado a tener un creativo que se le ocurra la idea del siglo y nos proponga una estrategia a seguir. Es verdad que la creatividad es muy importante en el marketing viral pero también existen recetas contrastadas que funcionan y que si aplicamos con lógica haremos que los contenidos de nuestra web sean cada vez más virales. Aplicando alguno de los ejemplos sugeridos en este artículo podremos ir tomando nota de las cosas que funcionan y perfeccionar nuestra campaña de marketing viral.

Page 76: Carlos Camacho Comercio Electronico

76

CAPITULO XII ESTRATÉGIAS PARA MONTAR UN NEGOCIO EN LA RED. ANALISIS DE LAS DIFERENTES ETAPAS DE UN PROYECTO DE IMPLEMENTACION DE COMERCIO ELECTRONICO. Internet ha transformado la vida de cientos de millones de personas y de miles de empresas de todos los sectores en el planeta, pero sigue siendo una dimensión desconocida para muchas personas que no encuentran alternativas de ingresos bajo los modelos tradicionales y que podrían encontrar en la Web su fuente no sólo de supervivencia, sino también de riqueza. En Colombia hay más de 18,2 millones de usuarios de Internet, según la Comisión de Regulación de Telecomunicaciones (CRT). La gran mayoría de ellos se limita a usar el correo electrónico, a mensajería instantánea, el buscador de Google, el sitio de videos YouTube y sitios de noticias y entretenimiento. Un buen número de estudiantes empieza a aprovechar la Web para su educación, pero pocos la están aprovechando para hacer negocios personales, incrementar las ventas de las empresas o crear nuevos emprendimientos. ¿Es difícil hacer negocios en Internet y hacerlos sostenibles en el tiempo? No es tan fácil como se suele ver en las noticias de personas que se hicieron millonarias en cuestión de meses, y exige creatividad e innovación permanentes, pero tampoco impone tener posgrados en Europa ni contar con experiencia de muchos años. Internet no sólo es un mundo que ofrece pocas barreras de inicio para un emprendedor o para una empresa, sino que también permite acceder fácilmente a mercados internacionales. Éstas son las diez pautas para iniciar un negocio en línea y no morir en el intento: 1. Una idea. En Internet una idea es la base de cualquier buen negocio. Si la idea es innovadora y creativa, mucho mejor, pero estas condiciones no son imprescindibles: basta con que responda a necesidades concretas y aporte una propuesta de valor real para personas reales. Internet es un canal con un alcance sin precedentes, pero no se debe perder de vista que la interacción final se hace con personas de carne y hueso, con intereses y necesidades legítimos. Se debe considerar cuál será el rol de la red para el desarrollo de la idea de negocio, pues hacer negocios en la Web no consiste en contar con un lindo sitio web, sino en tener una propuesta de valor canalizada a través de Internet como plataforma. 2. Investigación de mercados. No hay que dejarse llevar por la emoción si se cree que hay una buena idea y tres amigos le han pronosticado el éxito. Antes de hacer inversiones o tomar decisiones conviene dedicar un tiempo para investigar el mercado –si habrá demanda para el nuevo producto o servicio, si los precios son razonables, si la idea ya ha sido desarrollada por alguien y qué competidores locales y globales existen, entre otros aspectos–. •El buscador Google (www.google.com) será su gran aliado para encontrar respuesta a todas las preguntas que se plantee durante esta investigación de mercados. Además, podrá usar Google Alertas (www.google.com/alerts) para programar búsquedas recurrentes, es decir, para que Google haga automáticamente las búsquedas por la Web.

Page 77: Carlos Camacho Comercio Electronico

77

3. El plan de negocios en línea. Escribir un plan de negocios parece ser un asunto para expertos, y si la idea es muy buena, parecerá una tarea innecesaria o aburrida. Sin embargo, vale la pena dedicar tiempo a esta labor: si las empresas que ya existen tienen y actualizan sus planes de negocios, ¿cómo no hacerlo para un proyecto nuevo? Este documento será el mapa de navegación, o la hoja de ruta, que guiará al emprendedor en aspectos como la estrategia de negocios, la fuente de ingresos, los mercados potenciales y las acciones de mercadeo y comunicación. • No se requiere una maestría en negocios para hacer un buen plan. Si usted no tiene las bases para hacerlo, busque en Google expresiones como ‘plan de negocio ejemplos’, ‘plan de negocio Internet’, ‘formato plan de negocio’, o incluso planes para un proyecto similar al suyo, por ejemplo ‘plan de negocio pizzeria Internet’. 4. La base tecnológica del negocio. Arrancar un negocio y enviar correos con la dirección de un servicio gratuito de correo disminuye la imagen corporativa. Invertir en software de productividad para editar textos, hojas de cálculo y presentaciones puede ser costoso. Manejar una cuenta de mensajería o videoconferencia personal no dará la sensación de seriedad. Pero tener todo esto para un proyecto o una empresa de la manera tradicional –comprando servidores y computadores, instalando software y actualizaciones, implementando soluciones de seguridad informática y contratando personal técnico, entre otros– resulta demasiado costoso, exigente y, con frecuencia, frustrante. • El paquete de aplicaciones en línea para empresas e instituciones educativas Google Apps le permitirá crear una cuenta de correo electrónico con el dominio de su negocio, proyecto o empresa ([email protected]), utilizar las aplicaciones de productividad en línea más popular en la Web, Google Docs (que le permitirá crear, modificar, compartir y trabajar colaborativamente sobre documentos de texto, hojas de cálculo, presentaciones y formularios), administrar un calendario compartido, realizar chats, audio y videoconferencias, entre otras funciones. El servicio, disponible en www.google.com/a, es gratuito para entidades educativas y para empresas con menos de 50 usuarios. 5. El sitio web. Con todas las bases de negocio y técnicas listas, es la hora de aterrizar: el sitio web debe nacer. Se debe tener en cuenta que el sitio no es el objetivo del negocio, sino el medio –o uno de los medios– para hacer el negocio una realidad. El diseño del sitio web es importante; pero, más que la estética, tal como un edificio debe tener cimientos sólidos. Así que antes de contratar a un diseñador o una empresa de diseño, se debe escoger una plataforma web flexible, tecnológicamente segura y confiable, y preparada para que el sitio web crezca en tamaño y funciones –comercio electrónico, videos, foros, blogs, etc.– cuando el negocio lo exija. En el mercado hay una gran variedad de opciones para montar un sitio web, desde acudir a grandes empresas de diseño y desarrollo web, que cobran millones de pesos, hasta contratar diseñadores independientes, así como montar directamente el sitio por medio de software comercial o gratuito. •Google Sites (sites.google.com, y también dentro de Google Apps) es la oferta gratuita de Google que permite crear sitios web públicos e internos en pocas horas, con alta

Page 78: Carlos Camacho Comercio Electronico

78

flexibilidad y con todos los elementos multimedia e interactivos que actualmente se imponen. 6. Una nueva fuente de ingresos. De acuerdo con la idea inicial, el plan de negocios y los productos y servicios que se ofrecen, habrá una fuente de ingresos principal. En algunos casos, por ejemplo cuando el proyecto consiste en generación de contenidos o creación de comunidades, ofrecer publicidad dentro del sitio web, que se convierta en una nueva fuente de ingresos, puede ser una buena alternativa (en otros casos no será conveniente; es importante analizar los pro y contra de presentar anuncios de terceros). Aunque la publicidad en línea puede generar ingresos, si los anuncios no son relevantes –no tienen nada que ver con los contenidos del sitio– o si gráficamente son intrusivos –interrumpen la lectura, los beneficios económicos serán menores que los perjuicios que le ocasionen al sitio web. • Google AdSense, el programa de publicidad en línea de Google dirigido a la monetización de blogs y sitios web, permite publicar anuncios relevantes, directamente relacionados con los temas publicados, y gráficamente respetuosos del diseño del sitio y de sus visitantes. En la página www.google.com/adsense es posible crear una cuenta de AdSense y configurar la pauta publicitaria en cuestión de minutos. ¡Usted no necesita ser especialista! 7. El tráfico. Una variable directamente asociada al éxito del negocio en línea es la cantidad de visitantes y usuarios que tenga. ¿Cómo atraerlos frente a la gran cantidad de sitios web? Aquí los buscadores web, como Google, cumplen un rol clave, por lo que la optimización del sitio web (SEO: Search Engine Optimization) para que aparezca en los primeros resultados de búsqueda es fundamental. Además, para atraer potenciales clientes se deben utilizar plataformas de publicidad en línea que promocionen el sitio tanto en buscadores como en blogs, sitios de noticias y sitios web en general. • En Colombia, nueve de cada diez búsquedas en la Web se hacen a través de Google, por lo que optimizar su sitio para que aparezca en los primeros lugares cuando las personas busquen palabras relacionadas con su negocio será clave para su éxito. •La plataforma publicitaria más exitosa en Internet es Google AdWords (www.adwords.google.com), la cual permite crear campañas con alta flexibilidad, máximo control y presupuestos ajustados a sus posibilidades (desde unos pocos miles de pesos mensuales hasta millones). Google AdWords es fácil de usar y usted podrá montar su propia campaña, o también puede acudir a personas o empresas certificadas por Google que le garantizarán buenos resultados. 8. Camino a la exportación. Si en la idea inicial o en el plan de negocio no se estableció que el mercado potencial va más allá de lo local, cualquier momento será oportuno para mirar más allá de las fronteras aprovechando el alcance global de Internet, que permite no restringir el negocio a una geografía o un idioma. • Usted podrá descubrir qué es lo que la gente está buscando en Internet en distintas ciudades de Colombia, sino también en cualquier país del mundo en un período determinado, a través de la herramienta Google Insights for Search (www.google.com/insights/search).•Si al hacer esta investigación encuentra un mercado potencial en otro país e idioma, y no tiene el presupuesto para contratar una traducción

Page 79: Carlos Camacho Comercio Electronico

79

profesional, puede acudir a Google Translate (translate.google.com), que le permitirá incluir un pequeño gadget traductor al inglés y otras 40 lenguas. 9. Afinar, experimentar, mejorar. Experimentar y hacer pruebas permanentes a bajo costo o a costo cero es una de las grandes ventajas de la Web, pues en el mundo offline esto resulta muy difícil y costoso. Con el sitio web, que es una de las bases del negocio, se pueden hacer, por ejemplo, pruebas con distintas páginas de destino para los anuncios publicitarios para medir cuáles crean más ventas o visitas efectivas. • La herramienta Google Website Optimizer le permite construir dos páginas de destino al mismo tiempo y ponerlas en línea para probar cuál es más atractiva y funcional. Para acceder a ella, vaya a adwords.google.com y dé clic en la Optimizador de Sitios Web. 10. ¡Medir, medir y medir! Si hay algo que diferencia a Internet de los demás medios de comunicación es su capacidad de medir. Con herramientas simples y gratuitas se pueden conocer con datos reales y precisos cuáles son las fortalezas y debilidades de un sitio web a partir del comportamiento de los usuarios. Con estas herramientas se puede conocer qué contenidos funcionan mejor, qué páginas son más leídas, qué productos o servicios son los más visitados, de dónde provienen las visitas, cuánto tiempo duran los visitantes en determinadas páginas del sitio, entre muchos otros datos. •Google Analytics (analytics.google.com) es una plataforma de medición de clase mundial que le permite medir y analizar el tráfico de su sitio web y tomar decisiones acertadas en cuanto a contenido, diseño y acciones publicitarias o de mercadeo.

Page 80: Carlos Camacho Comercio Electronico

80

ANEXOS

C2C - Consumidor a Consumidor (Consumer to Consumer) Existen muchos sitios web que ofrecen anuncios clasificados gratis, subastas online y foros en donde la gente puede comprar y vender gracias a los sistemas de pago en línea, tales como PayPal mediante el cual se puede enviar y recibir dinero en línea con facilidad. Ejemplos clásicos son eBay y MercadoLibre. C2B - Consumidor a Negocio (Consumer to Business) Aquí, un consumidor publica online su proyecto con un presupuesto determinado y en breve, algunas empresas revisan los requerimientos del consumidor y cotizan el proyecto. El consumidor revisa las propuestas y selecciona a la compañía que ejecutará su proyecto.

Page 81: Carlos Camacho Comercio Electronico

81

ADOPCIÓN E IMPLEMENTACIÓN DEL COMERCIO ELECTRÓNICO POR

EMPRESAS MEDIANAS EN EL PERÚ Un estudio de casos*

Peter Yamakawa Tsuja PROFESOR CONTRATADO DE ESAN ÁREA DE OPERACIONES Y TECNOLOGÍA DE INFORMACIÓN Jaime Serida Nishimura PROFESOR ASOCIADO DE ESAN ÁREA DE OPERACIONES Y TECNOLOGÍA DE INFORMACIÓN Resumen Este trabajo examina los factores asociados con la adopción del comercio electrónico y la relación entre estos factores y el grado de implementación de esta tecnología en empresas medianas en el Perú. Lo hace a partir de la evidencia empírica proporcionada por empresas que representan experiencias exitosas de uso del comercio electrónico. Asimismo, como respuesta a la necesidad de emplear una unidad de medida diferente de la binaria adopta/no adopta para establecer el grado de implementación de la tecnología de comercio electrónico, esta investigación presenta una propuesta de medición que considera cuatro dimensiones: volumen, diversidad, amplitud y profundidad. El marco de análisis proviene de la teoría de la difusión de innovaciones. La identidad de las empresas se basa en lograr una relación más cercana con sus clientes. En consecuencia, en esta era de la nueva economía, la adopción e implementación exitosa de la tecnología de comercio electrónico es un asunto fundamental para estas empresas. Pero para que ellas puedan aprovechar las ventajas derivadas de los muchos beneficios de esta tecnología, se requiere la aplicación de nuevos conceptos y modelos. Muchos investigadores y profesionales vinculados a este tema han reconocido la importancia del comercio electrónico y sus diversas aplicaciones para el éxito de las organizaciones. Sin embargo, a pesar de los numerosos estudios acerca de esta tecnología, es escasa la investigación que identifique los factores asociados con la adopción del comercio electrónico y la relación entre estos factores y el grado de implementación de esta tecnología en las empresas medianas. Al respecto, esta investigación examina la adopción y el grado de implementación de la tecnología de comercio electrónico por empresas medianas en el Perú usando como marco de análisis la teoría de la difusión de innovaciones. Los objetivos específicos de la investigación son: 1) determinar si los factores que explican la adopción de la tecnología de comercio electrónico son diferentes de los factores que explican el grado de la implementación de esta tecnología en empresas medianas,

Page 82: Carlos Camacho Comercio Electronico

82

2) explorar los factores que causan el incremento del grado de implementación de esta tecnología en empresas medianas, 3) desarrollar una propuesta conceptual sobre las dimensiones del grado de implementación del comercio electrónico en empresas medianas y 4) brindar a los profesionales un marco de análisis para entender cómo las empresas medianas usan de manera exitosa la tecnología de comercio electrónico. La investigación se basa en la evidencia proporcionada por tres empresas medianas en el Perú, cada una de las cuales representa una experiencia exitosa de uso de la tecnología de comercio electrónico. Además, estas tres empresas están consideradas como grandes innovadoras en el mercado peruano y están construyendo una potente infraestructura de comercio electrónico para transformar y hacer efectivas sus estructuras internas. Se trata de empresas visionarias que entienden que los formatos de negocios y modelos organizacionales actuales son insuficientes para hacer frente a los desafíos de hacer negocios en la era del comercio electrónico y que consideran a esta tecnología como elemento clave para mantenerse por delante de sus competidores y convertirse en mejores empresas. Asimismo, es sabido el énfasis que investigaciones anteriores han puesto en la necesidad de emplear una unidad de medida diferente de la binaria adopta/no adopta para establecer el grado de la implementación de la tecnología de comercio electrónico. Al respecto, esta investigación también propone una nueva aproximación a la medición del grado de implementación del comercio electrónico, la que considera cuatro dimensiones: volumen, diversidad, amplitud y profundidad. El estudio de estas dimensiones puede ayudar a los investigadores y profesionales a entender mejor el proceso de implementación del comercio electrónico en empresas medianas. Lo más importante es que esta propuesta de medición de la implementación del comercio electrónico. Adopción e implementación del comercio electrónico Co construye un marco de análisis sólido para vincular la adopción de esta tecnología con el grado en el que ésta es implementada en empresas medianas. 2. Enfoque de la investigación Para entender el proceso de adopción e implementación de la tecnología de la información, trabajos anteriores han recurrido a la teoría de la difusión de innovaciones. Por ejemplo, muchos estudios han investigado la relación entre las características de la innovación y la adopción y difusión de las innovaciones (Rogers, 1983). Tornatzky y Klein (1982) proponen algunas generalizaciones sobre la relación entre unas pocas características de la innovación y la adopción/difusión. Su análisis revela que los hallazgos de estudios anteriores eran inconsistentes y que sólo tres características eran lo suficientemente consistentes para ser significativas:

Page 83: Carlos Camacho Comercio Electronico

83

compatibilidad, ventaja relativa y complejidad. Respecto a estudios en el campo de los sistemas de información, investigaciones anteriores han puesto énfasis en modelos de difusión integrando las teorías del cambio gerencial, innovación y la literatura acerca de la difusión tecnológica (Larsen y McGuire, 1998). La mayoría de estas investigaciones se han centrado en ciertos tipos de tecnología, como la del intercambio electrónico de datos (EDI, siglas en inglés), extensamente estudiada. Premkumar, Ramamurthy y Nilakanta (1994) exploraron la relación entre varias características de la innovación y diversos atributos de la difusión. Iacovou, Benbasat y Dexter (1995) identificaron tres factores principales que influyen en la adopción de la tecnología EDI por pequeñas organizaciones: disposición organizacional, presiones externas y beneficios percibidos. Massetti y Zmud (1996) propusieron una aproximación a la medición de la tecnología EDI que consistía en cuatro variables: volumen, diversidad, profundidad y amplitud. Hay algunos estudios que muestran que estos conceptos previos pueden ser aplicados a la adopción de tecnologías de comercio electrónico por parte de las empresas (Mehrtens, Cragg y Mills, 2001; Chengalur-Smith y Duchessi, 1999; y Beatty, Shim y Jones, 2001). Nuestra revisión de la literatura sobre comercio electrónico sugiere que aún es escasa la investigación acerca de la adopción e implementación de esta tecnología. Por lo tanto, este trabajo examina la adopción y el grado de la implementación de la tecnología de comercio electrónico en empresas medianas usando como marco de análisis la teoría de la difusión de innovaciones. Respecto del grado de la implementación del comercio electrónico, investigaciones anteriores han remarcado la necesidad de usar una variable dependiente diferente de la binaria adopción/no adopción. En consecuencia, sobre la base de estudios previos referidos a tecnología de información e implementación de intercambio electrónico de datos (McGowan yMadey, 1998; Massetti y Zmud, 1996),nosotros proponemos una nueva aproximación para medir el grado de la implementación del comercio electrónico, la que considera cuatro dimensiones: 1) Volumen, que se refiere al grado en el que el intercambio de documentos en una organización se realiza vía aplicaciones de comercio electrónico. 2) Diversidad, que se refiere al número de diferentes tipos de documentos que una organización maneja a través de aplicaciones de comercio electrónico. 3) Amplitud, que se refiere al grado en el que una organización ha desarrollado vínculos de comercio electrónico para interactuar con clientes, proveedores, acreedores y otros agentes relacionados (stakeholders). 4) Profundidad, que se refiere al grado de sofisticación del comercio electrónico que ha sido establecido en la organización. 3. Adopción tecnológica en empresas medianas La revisión de la literatura existente permite identificar tres tipos de factores como los principales en influir sobre la adopción tecnológica:

Page 84: Carlos Camacho Comercio Electronico

84

i) beneficios percibidos, ii) factores organizacionales y iii) factores del entorno (Mehrtens, Cragg y Mills, 2001; Iacovou, Benbasat y Dexter,1995; McGowan y Madey, 1998). i) Por beneficios percibidos de la tecnología de comercio electrónico se entiende el nivel de reconocimiento de los beneficios directos e indirectos que esta tecnología puede proveer a la organización. Investigaciones anteriores han identificado diversas dimensiones de este factor. Por ejemplo, Mehrtens, Cragg y Mills hallaron los siguientes: ventaja relativa sobre métodos tradicionales ,herramienta de negocios y manera de mejorar la comunicación. Beatty, Shim y Jones, encontraron dimensiones adicionales, como la calidad del servicio. ii) Por factores organizacionales se entiende el nivel del conjunto de recursos financieros y tecnológicos de las organizaciones. Investigaciones anteriores han definido algunas dimensiones de estos factores, como soporte gerencial, experiencia técnica, entre otros (McGowan y Madey, 1998). iii) Por factores del entorno se entiende el nivel de influencia del ambiente que rodea a la organización. Investigaciones anteriores han identificado algunas dimensiones de este factor. Por ejemplo, Iacovou, Benbasat y Dexter (1995) consideran la presión externa y el apoyo del vendedor, mientras McGowan y Madey (1998) consideran la influencia del consumidor, la influencia del proveedor, la cooperación industrial y el apoyo del vendedor. Algunos estudios muestran que estos factores pueden aplicarse para entender la adopción de la tecnología de comercio electrónico por parte de las empresas medianas (Mehrtens, Cragg y Mills, 2001),y que pueden influir en la adopción e implementación del comercio electrónico. Luego, entender estos conceptos puede ayudar a las empresas medianas a incrementar sus ventas, reducir sus costos y mejorar su comunicación con sus clientes (Schneider y Perry, 2001). 4. Metodología de investigación Con la finalidad de investigar la adopción y el grado de la implementación de la tecnología de comercio electrónico, se realizó un estudios de casos, método de investigación apropiado para estudiar la adopción de esta nueva tecnología porque el tema es relativamente nuevo. Así, Uso del comercio electrónico en las empresas estudiadas Caso de estudio Contexto de negocios Uso del comercio electrónico Implementó su primer sitio web en 1999. Utiliza el sitio web y el correo electrónico en sus operaciones de marketing y servicio al cliente. La tecnología de comercio electrónico es vista como el único medio de prestar mejores servicios.

Page 85: Carlos Camacho Comercio Electronico

85

Ha implementado un avanzado CRM en el año 2000. Utiliza el sitio web y el correo electrónico en sus funciones de marketing, compras, finanzas y logística para incrementar la eficiencia de sus operaciones y reducir costos. Su primer sitio web data de 1999 y fue implementado para proyectar una imagen de líder innovador en tecnología. Implementó su primer EDI VAN en 1996 su primer EDI WEB en el 2001. Usa su sitio web para el servicio alcliente y sus actividades demarketing, principalmente. El sitio web empezó a usarse en diciembre de 1999. Emplea el correo electrónico básicamente para mejorar sus comunicaciones. Es una de las más importantes empresas administradoras de fondos de pensiones. Cuenta con 600 mil afiliados y ha desarrollado un gran espíritu de servicio al cliente. Lidera el comercio minorista en el Perú. Su elevado sentido del servicio al cliente es reconocido mundialmente. Tienda por departamentos líder en el comercio minorista de diversos productos y servicios. Tiene establecimientos en las principales ciudades del país. También atiende compras por catálogo y a través de su sitio web. AFP Perdura Cestefín Pariluz Perú Durante el verano del 2002 se estudiaron tres empresas medianas en Lima. Los estudios de casos son la estrategia preferida cuando las preguntas planteadas son «cómo» y «porqué», cuando el investigador tiene poco control sobre los hechos y cuando el interés se centra en un campo nuevo. Los estudios de casos pueden ser usados para generar, describir y/o probar una teoría. El propósito de esta investigación fue realizar un estudio exploratorio sobre la adopción del comercio electrónico y el grado en el que éste ha sido implementado. La unidad de análisis fue la organización. Para esta investigación, se definió mediana empresa como la organización independiente cuyo tamaño se sitúa en un rango entre 200 y mil empleados. Las tres empresas que constituyen la muestra del estudio se seleccionaron en función de su gran nivel de uso de la tecnología de comercio electrónico. Las tres están consideradas como grandes innovadoras y representativas de las empresas medianas peruanas que han obtenido éxito en el manejo de la tecnología de comercio electrónico para mejorar sus operaciones y reducir sus costos. Estas organizaciones han adoptado por lo menos las siguientes tecnologías de comercio electrónico: correo electrónico, sitio web y gerencia de la relación con el cliente (CRM, siglas en inglés). El siguiente cuadro indica el contexto de negocio de cada una de las empresas, la función en la cual se usa la tecnología de comercio electrónico y el año en que cada una empezó a utilizar esta tecnología. El método de recolección de la información fue la entrevista. Los propios autores, usando una guía de entrevista semiestructurada, conversaron con los gerentes y el personal involucrado en la adopción e implementación de la tecnología mencionada. Las preguntas se orientaron a lograr una mayor comprensión de cómo y por qué se

Page 86: Carlos Camacho Comercio Electronico

86

adopta y pone en práctica la tecnología de comercio electrónico en las empresas medianas. 5. El modelo de adopción del comercio electrónico en empresas medianas Los tres casos mencionados: AFP Perdura, Cestefín y Pariluz fueron usados para sustentar nuestro modelo de adopción de tecnología de comercio electrónico por parte de empresas medianas. La siguiente figura muestra el proceso de adopción e implementación de la tecnología de comercio electrónico. Las tres organizaciones usan el sitio web, el CRM y/o el correo electrónico para mejorar su servicio al cliente, sus comunicaciones y sus procesos de negocios.Estas tecnologías de comercio electrónicos son consideradas muy similares y han sido tratadas como una sola (Mehrtens, Cragg y Mills, 2001). 5.1. Beneficios percibidos Los casos estudiados permiten identificar los siguientes beneficios percibidos. Ventaja relativa A partir de los tres casos estudiados, se puede identificar la ventaja relativa de la tecnología de comercio electrónico sobre los métodos tradicionales de comunicación, como el teléfono y el facsímil. Por ejemplo, el sitio web puede ser visitado por el mundo entero. Las tres empresas estudiadas manifestaron que en las etapas iniciales no obtenían beneficio económico alguno con el uso del sitio web. Pero reconocían que podían mejorar su servicio a través de la tecnología de comercio electrónico, con las aplicaciones de Customer Relationship Management (CRM) y el sitio web. Las tres empresas estaban llevando a cabo el esfuerzo de implementar el CRM vía la tecnología de comercio electrónico. AFP Perdura, que ha recibido el reconocimiento del público usuario por su excelente servicio al cliente, consideraba que esta tecnología era una necesidad impuesta por la competencia. Esta AFP ha desarrollado incluso un sitio web denominado «perdura hoy. com», dirigido a mejorar la calidad de vida de sus clientes y ya ha implementado un buen nivel de Customer Relationship Management (CRM) a través de la tecnología de comercio electrónico. Pariluz usa el sitio web como un nuevo canal de promoción de sus productos y servicios, pero es sabido que considera el nuevo medio como un complemento de sus canales tradicionales. Pariluz mencionó que recibió de sus clientes sugerencias acerca de sus productos y servicios a través de su sitio web y señaló que estaba comprometida con la implementación de un CRM de un buen nivel. Cestefín advirtió que el sitio web le daba una ventaja en el establecimiento de negocios electrónicos con inmigrantes peruanos, principalmente en Estados Unidos y Japón, y manifestó que también estaba usando este canal para promover algunos de sus productos y servicios. Comenzó a utilizar la modalidad empresaconsumidor

Page 87: Carlos Camacho Comercio Electronico

87

(B2C) en 1999 y estaba comprometida en un esfuerzo para implementar la modalidad empresa-empresa (B2B) con sus proveedores desde el 2001. Por lo tanto, la ventaja relativa parece ser un tipo de beneficio percibido y un criterio tenido en cuenta para impulsar la adopción e incrementar el grado de implementación del comercio electrónico. Comunicaciones Las empresas usan el correo electrónico y los sitios web para mejorar sus relaciones con los clientes. Las aplicaciones de CRM a través de la tecnología de comercio electrónico las ayuda a mantener comunicaciones personales con ellos. Estas empresas pueden enviar información vía su sitio web y algunas de ellas pueden establecer una comunicación interactiva con ellos. Las comunicaciones parecen ser un tipo de beneficio percibido y un criterio tenido en cuenta para impulsar la adopción e incrementar el grado de implementación del comercio electrónico. Ámbito global Estas tres empresas son muy proactivas. Saben que Internet y la tecnología han cambiado la forma de competir y que el comercio electrónico es global, no local. La esfera global parece ser un tipo de beneficio percibido y un criterio tenido en cuenta para impulsar la adopción e incrementar el grado de implementación del comercio electrónico. Relación con el cliente Las tres empresas estudiadas consideran que el CRM es crítico para la sobrevivencia del negocio. Manifestaron que debían hacer frente al incremento de la competencia, la globalización y el costo creciente de la adquisición de nuevos clientes. Al momento del estudio estaban implementando un cierto nivel de CRM. Sus metas eran usar el nivel existente de relación con el cliente para incrementar las utilidades, aprovechar la integración de la información para brindar un servicio excelente, introducir procedimientos y procesos de venta más efectivos, crear un valor nuevo y desarrollar la lealtad del consumidor. Y consideraban que estas metas podían ser conseguidas con el soporte de la tecnología de comercio electrónico. Por ejemplo, AFP Perdura manifestó que el CRM era un requisito indispensable para la competencia y que ya había implementado un excelente servicio al cliente vía la tecnología de comercio electrónico. Mencionó que años atrás sus servicios no gozaban de la aprobación de sus clientes, pero que esta situación había cambiado desde que se empezó a implementarel CRM. Cestefín fue premiada como la mejor empresa peruana en brindar una excelente calidad de servicio al cliente, que era precisamente una de sus aspiraciones. Estaba empeñada en lograr un excelente servicio al cliente y creía que la tecnología de comercio electrónico podía ayudarla a alcanzar esta meta. Por su parte, Pariluz estaba comprometida en un proyecto para implementar el CRM. La relación con el cliente parecer ser un tipo de beneficio percibido y un criterio tenido en cuenta para impulsar la adopción e incrementar el grado de implementación del comercio electrónico. Posición en el mercado

Page 88: Carlos Camacho Comercio Electronico

88

Las tres empresas del estudio están consideradas como «buenas empresas peruanas », de modo que creen que deben cuidar también su imagen de líderes innovadores en tecnología. Por ejemplo, Cestefín consideraba muy crítico el asunto de la implementación de un sitio web, ya que fue pionera de muchas tecnologías en el Perú. Por su posición de mercado, Pariluz consideraba que la implementación del comercio electrónico era muy importante para andar al paso de la nueva era. Estas dos empresas fueron adoptadoras tempranas de las tecnologías de comercio electrónico. La posición en el mercado parece ser un tipo de beneficio percibido y un criterio tenido en cuenta para impulsar la adopción e incrementar el grado de implementación del comercio electrónico. Integración de aplicaciones Las empresas tenían que integrar sistemas back-end para proveer información precisa y en tiempo real a sus clientes. La tecnología de comercio electrónico debe encajar en un formato efectivo de negocio para generar un valor diferenciado o sustentable. Por ejemplo, AFP Perdura ha integrado sus aplicaciones de CRM con sus aplicaciones de Enterprise Resource Planning (ERP) en el diseño de sus campañas de marketing. La integración de aplicaciones parece ser un tipo de beneficio percibido y un criterio tenido en cuenta para impulsar la adopción e incrementar el grado de implementación del comercio electrónico. 5.2. Factores organizacionales Los casos estudiados permiten identificar los siguientes factores organizacionales. Apoyo de la gerencia Los casos estudiados ponen en evidencia un alto grado de involucramiento de la gerencia en la implementación de la tecnología de comercio electrónico. En Cestefín, el propio gerente general impulsó la adopción de esta tecnología y el uso del sitio web, y alentó en los empleadosla búsqueda de la innovación y la colaboración para el logro de los objetivos de la empresa. AFP Perdura manifestó que el gerente general apoyó la adopción e implementación de la tecnología de comercio electrónico con el convencimiento de que el CRM era una estrategia de competencia y de que la tecnología de comercio electrónico era la clave para lograr los objetivos estratégicos de la empresa. En Pariluz, uno de los vicepresidentes estaba interesado en el comercio electrónico y apoyó al gerente del departamento de Tecnología de Información en la implementación de un sitio web interactivo desde el comienzo. El apoyo de la gerencia parece ser un tipo de beneficio percibido y un criterio tenido en cuenta para impulsar la adopción e incrementar el grado de implementación del comercio electrónico. Experiencia técnica Se esperaba observar el más alto nivel de implementación de la tecnología de comercio electrónico en una organización que tuviera el más alto grado de conocimiento respecto de esta materia. Sobre la base de las razones expuestas por las tres empresas estudiadas y la literatura previa se identificó tres tipos de experiencia técnica:

Page 89: Carlos Camacho Comercio Electronico

89

Nivel de conocimientos sobre tecnología de la información entre los profesionales del área. Las tres empresas estudiadas tenían un departamento de Sistemas con un alto grado de conocimiento sobre tecnología de la información. El personal profesional estaba al tanto de las últimas tecnologías y mostraba también un adecuado conocimiento de la tecnologíade comercio electrónico. Nivel de conocimientos sobre tecnología de la información entre los profesionalesde áreas distintas del área detecnología de la información. Las tres empresas estudiadas contaban con uno o más ejecutivos interesados en la tecnología de comercio electrónico, quienes impulsaron la implementación de sitios web en sus empresas. Cestefín manifestó que el gerente general estaba muy interesado en la tecnología y fue el promotor de la implantación del primer intercambio electrónico de datos (EDI) en el Perú y de la implementación del sitio web como medio para realizar comercio electrónico. En AFP Perdura, el gerente y sus ejecutivos tenían un buen conocimiento tecnológico y pensaban que el empleo efectivo de la tecnología de comercio electrónico podría ayudarlos a obtener ventajas competitivas. Pariluz manifestó que uno de sus vicepresidentes tenía un buen conocimiento de Internet y de la tecnología de comercio electrónico. Grado de utilización de la tecnología de información en la empresa. Las tres empresas estudiadas tienen infraestructuras y redes adecuadas. Los casos sustentan la evidencia de que las organizaciones que presentan altos niveles de tecnología de la información son las más dispuestas a adoptar y a implementar la tecnología de comercio electrónico. Cestefín,como se ha dicho, adoptó tempranamenteel intercambio electrónico de datos(EDI) así como el sitio web. AFP Perdura tiene una excelente infraestructurade comercio electrónico. Ha instaladoun ERP, ha implementado un CRM de alto nivel y tiene un bien desarrollado data warehouse. Y estos tres sistemas están integrados. Impulsores En el caso de Pariluz, la iniciativa para implementar y extender el uso del sitio web surgió en el departamento de Sistemas de Información. Por su parte, Cestefín y AFP Perdura manifestaron que muchos profesionales de diferentes áreas de la organización impulsaron la implementación de los proyectos de comercio electrónico o colaboraron con ellos. Los impulsores parecen ser un tipo de factor organizacional y un criterio tenido en cuenta para impulsar la adopción e incrementar el grado de implementación del comercio electrónico. Cultura Los tres casos estudiados sugieren que las empresas que tienen una cultura de innovación tecnológica son más proactivas en adoptar e implementar sitios web de elevado nivel. Las empresas del estudio mencionaron estar muy interesadas en mejorar su servicio al cliente y sus operaciones de negocios y creían que la tecnología de comercio electrónico podía ayudarlas a logras estas metas. Cestefín y Pariluz tienen una cultura abierta a la innovación y muestran un gran interés en las tecnologías nuevas. Por ejemplo, el gerente general de Cestefín visita aproximadamente 500 tiendas

Page 90: Carlos Camacho Comercio Electronico

90

minoristas alrededor del mundo con la finalidad de obtener nuevas ideas relacionadas con la tecnología para aplicarlas en su empresa. Debido a su liderazgo, el gerente general ha establecido una cultura de la innovación en el conocido supermercado. En cuanto a AFP Perdura, ya se ha mencionado su afán por desarrollar un servicio orientado al cliente empleando la tecnología de comercio electrónico.La cultura parece ser un tipo de factor organizacional y un criterio tenido en cuenta para impulsar la adopción e incrementar el grado de implementación del comercio electrónico. Recursos financieros Los ejecutivos de Cestefín mencionaron que en las etapas iniciales los recursos financieros no fueron un elemento fundamental en la implementación del sitio web, pero sí lo fueron (costo de las aplicaciones, costo de la integración, etc.) en las subsiguientes etapas. En cuanto a AFP Perdura y Pariluz, éstas consideraron desde el comienzo que los recursos financieros eran un elemento de importancia por tener en cuenta al evaluar la implementación del sitio web. 5.3. Factores del entorno Los casos estudiados permiten identificar los siguientes factores del entorno. Influencia del cliente El modelo sugiere que la influencia del cliente podría incrementar la adopción y el grado de implementación de la tecnología de comercio electrónico. Las tres empresas mencionadas se consideran a sí mismas como centradas en el cliente. Empezaron a implementar la gerencia de relación con el cliente con la finalidad de satisfacer las expectativas de sus clientes y para establecer una relación más cercana con ellos. Las tres empresas se interesaron en CRM como un medio para captar nuevos clientes, incrementar la rentabilidad de sus clientes actuales y y retener a los clientes rentables. Estaban conscientes de que querían satisfacer las expectativas de sus clientes. La influencia del cliente parece ser un tipo de factor del entorno y un criterio tenido en cuenta para impulsar la adopción e incrementar el grado de implementación del comercio electrónico. La influencia de los proveedores El modelo sugiere que la influencia de los proveedores podría incrementar la adopción y el grado de la implementación de la nueva tecnología. Pero la evidencia proporcionada por los estudios de caso sugiere que los proveedores ejercen muy poca influencia sobre las empresas en cuanto al uso de alguna forma de comunicación a través de sitios web. Cestefín fue la única empresa que inició la implementación de web EDI, y aun en este caso los proveedores ejercieron escasa influencia. Apoyo o soporte del vendedor El modelo predice que el apoyo del vendedor incrementará la adopción y el grado de la implementación del sitio web.Los tres casos estudiados muestran que las empresas advirtieron que el soporte del vendedor fue importante en la adopción y en el incremento del uso de la tecnología de comercio electrónico y el sitio web.

Page 91: Carlos Camacho Comercio Electronico

91

Cestefín obtuvo apoyo del vendedor para lograr un mejor conocimiento de la adopción e implementación de esta tecnología y lo considera un aspecto fundamental de este proceso. Es más, considera a los vendedores como socios tecnológicos . Por su parte, Pariluz y AFP Perdura manifestaron haber recibido apoyo de los vendedores para elaborar el plan de implementación del sitio web. El apoyo del vendedor parece ser un tipo de factor del entorno y un criterio tenido en cuenta para impulsar la adopción e incrementar el grado de implementación del comercio electrónico. 6. Propuesta de medición del comercio electrónico Es conocido el énfasis que investigaciones anteriores han puesto en la necesidad de emplear una unidad de medida diferente de la binaria adopta/no adopta para establecer el grado de implementación de las innovaciones tecnológicas. Así, en este documento se propone una nueva aproximación a la medición del grado de implementación del comercio electrónico, la que considera cuatro dimensiones: volumen, diversidad, amplitud y profundidad. Volumen El volumen del comercio electrónico se refiere al grado en el que los documentos se intercambian vía las conexiones de comercio electrónico en la organización. Se determina por el porcentaje de documentos digitales –es decir, manejados vía comercio electrónico– con relación al total de documentos de la organización. AFP Perdura estima que el 20% de sus documentos son digitales, es decir, se intercambian vía las conexiones de comercio electrónico. Los departamentos más proactivos en el uso de documentos digitales son los de marketing, órdenes de venta y servicio al cliente. Por ejemplo, la AFP envía boletines digitales a sus clientes más importantes para establecer un contacto más estrecho con ellos. En Pariluz, el departamento de Sistemas de Información mencionó el ahorro de papel que supone el uso del correo electrónico, pero no pudo establecer qué porcentaje del total de sus documentos eran documentos digitales. En esta empresa, se emplean los canales tradicionales junto con el correo electrónico y el sito web para comunicarse con los clientes. Las tres empresas consideraron que la tecnología del correo electrónico podría ayudarlos a usar documentos digitales y a ahorrar papel. Amplitud La amplitud se refiere al grado en el que la organización ha establecido conexiones de comercio electrónico con clientes, proveedores, acreedores y otros agentes relacionados (stakeholders). Por ejemplo, Cestefín ha desarrollado dos modalidades de comercio electrónico: empresa-empresa (B2B) y empresa- consumidor (B2C). Respecto del intercambio electrónico de datos (EDI), Cestefín está conectado con sus 35 principales proveedores a través de las redes de valor agregado (value added networks,VAN), y está conectado con 10 de sus principales proveedores a través del sitio web. Por su parte, AFP Perdura ha establecido relaciones personales con sus principales clientes a través de su página web; por ejemplo, les envía información por este medio.

Page 92: Carlos Camacho Comercio Electronico

92

Diversidad La diversidad se refiere al número de distintas funciones que una organización maneja vía conexiones de comercio electrónico con clientes, proveedores, acreedores y otros agentes relacionados (stakeholders). Siguiendo los trabajos de Kalakota y Robinson (1999), Schneider y Perry (2001) y Fink (2001) se han considerado las siguientes funciones para el caso de los sitios web: 1) hacer publicidad, 2) contrarrestar las iniciativas de los competidores, 3) brindar información sobre productos y servicios, 4) generar transacciones en línea, 5) apoyar las consultas sobre ventas que no se hacen en línea, 6) permitir la interacción con clientes específicos, (7) proporcionar servicios al cliente (por ejemplo, manejo de reclamos),8) facilitar el desarrollo de relaciones con los clientes, 9) brindar información a los clientes, (10) aprender sobre los requerimientos de los clientes, (11) reducir costos, entre otras. Por ejemplo, AFP Perdura y Pariluz utilizan sus sitios web para ofrecer información sobre sus productos y servicios, generar operaciones en línea, permitir la interacción con sus principales clientes y proveer servicios al cliente vía CRM. Profundidad La profundidad en el comercio electrónico se refiere al grado de consolidación electrónica de esta tecnología en la organización. Siguiendo a Kowtha y Whai Ip Choon (2001), en este trabajo se considera cuatro etapas o grados de consolidación del comercio electrónico: • 1a generación: página principal, presencia estática e informativa en la página web. • 2da generación: catálogo electrónico, recolección de datos. • 3ra generación: sitio interactivo, transacciones de negocios. • 4ta generación: multimedia, integración de flujo de trabajo, reingeniería de procesos. • 5ta generación: expansión de plataforma de entrega, individualización. Las tres empresas estudiadas han implementado sus respectivos sitios web, que son interactivos y sustentan transacciones de negocios. Es sabido que la implementación de sitios web tiene diferentes características. Por ejemplo, Pariluz implementó un sitio web de tercera generación desde el comienzo, mientras que los sitios web de Cestefín y AFP Perdura evolucionaron gradualmente. Ahora, los sitios web de estas dos empresas tienen características de cuarta generación y algunas pocas características de quintageneración. 7. Discusión y conclusiones Esta investigación examina las experiencias de implementación del comercio electrónico de tres empresas peruanas con el marco teórico proporcionado por la teoría de la difusión de innovaciones. Las empresas estudiadas son conscientes de que ahora, más que nunca, el cliente es el rey. Las tres están orientadas al cliente y creen que la tecnología de comercioelectrónico les podrá proporcionar una ventaja competitiva. El involucramiento de la alta gerencia es crítica para la adopción e implementación de esta tecnología. Los casos de las tres empresas mostraron que el gerente general, que

Page 93: Carlos Camacho Comercio Electronico

93

tenía un buen conocimiento de la tecnología, apoyó los proyectos de comercio electrónico. El modelo sugiere que el marco conceptual desarrollado para la adopción e implementación del intercambio electrónico de datos (EDI) podría ser usado para estudiar la adopción e implementación de la tecnología de comercio electrónico. El presente estudio es un intento temprano de examinar los factores que influyen en la adopción e implementación de la tecnología de comercio electrónico. Los principales factores que influyen en este proceso son: los beneficios percibidos, los factores organizacionales y los factores del entorno. La investigación se centró en la adopción y el grado de implementación de las tecnologías de correo electrónico y sitio web (implementación de sitio web, gerencia de la relación con el cliente e intercambio electrónico de datos vía web). Por otro lado, en respuesta a la sugerencia de anteriores investigaciones respecto de la necesidad del uso de una unidad de medida distinta de la binaria adopta/no adopta, en esta investigación se ha propuesto una nueva aproximación para medir el grado de implementación del comercio electrónico considerandocuatro dimensiones: volumen, diversidad,amplitud y profundidad. El modelo presenta algunas limitaciones. El análisis de la información puede estar influenciado por la interpretación de los investigadores, lo que puede constituir una fuente de sesgos. Sin embargo,los autores consideran que este estudio constituye un excelente marco conceptual para examinar la tecnología de comercio electrónico. Finalmente, los autores consideran que el éxito de la implementación del comercio electrónico está asociado con el éxito de la empresa, y este documento es un intento de ayudar a los investigadores y profesionales a lograr un mejor entendimiento del proceso de implementación del comercio electrónico en empresas medianas. 8. Investigaciones futuras Esta investigación se ha centrado en la adopción e implementación de la tecnología de comercio electrónico. Los trabajos futuros pueden usar los estudios previos acerca de la adopción del intercambio electrónico de datos, ya que esta tecnología presenta similitudes con la tecnología de comercio electrónico. Asimismo, un estudio longitudinal del tema de la implementación podría facilitar un mejor entendimiento de la implementación de la tecnología de comercio electrónico. Las empresas estudiadas están interesadas en el servicio al cliente y se comprometieron con la implementación del CRM. Estudiar la adopción e implementación del CRM en empresas medianas podría ser una oportunidad para futuras investigaciones. http://www.esan.edu.pe/paginas/pdf/YamakawaSerida.pdf

Page 94: Carlos Camacho Comercio Electronico

94

BIBLIOGRAFÍA ALMADA, Federico, “Seguridad y aplicaciones WEB”, http://www.blogantivirus.com/seguridad-y-aplicaciones-webs BUCH Jordi “La seguridad de las transacciones bancarias en Internet” http://www.conganat.org/Seis/informes/2001/PDF/6BuchTarrats.pdf BU, José de Jesús, “E-COMERCE”, CELAF, Escuela Europea de Negocios. CERRADA Roberto “Estrategia De Marketing En Internet, Que Es. – Definición” Marketing Inteligente http://www.marketing-inteligente.com/Estrategia-De-Marketing-En-Internet--Que-Es----Definicion--_i11234.html COITE, Angélica “Auditoría de Sistema y políticas de Seguridad Informática”, http://www.monografias.com/trabajos12/fichagr/fichagr.shtml Monografias. com CREAR NEGOCIOS en linea ”Definicion de Comercio electronio y sus diferentes tipos” http://www.crear-negocios-en-linea.com/definicion-de-comercio-electronico.html DANS Enrique, “Comercio electronico” Profesor de Tecnologías de Informacion del Instituto de Empresa http://profesores.ie.edu/enrique_dans/download/ecommerce.PDF Descargar MX One Antivirus 4-5 , http://www.blogantivirus.com/descargar-mx-one-antivirus-4-5 GOOGLE, “INFRAESTRUCTURA DE CLAVE PUBLICA” http://translate.google.com.bo/translate?hl=es&langpair=en%7Ces&u=http://nsslabs.com/WhitePapers/pki.htm GOSENDE Javier “Marketing Viral en Internet: ¿Qué funciona en el Marketing Viral?” MICROSOFT WIKIPEDIA B2C http://es.wikipedia.org/wiki/B2C JAIRO, “QualysGuard Malware Detection, escanea tu sitio web en busca de malware”, http://www.blogantivirus.com/qualysguard-malware-detection-escanea-tu-sitio-web-en-busca-de-malware JAIRO, Oracle publica un parche de seguridad para Java, http://www.blogantivirus.com/oracle-publica-un-parche-de-seguridad-para-java KEINER, Emiliano “Variadas actualizaciones en Debian Linux”, http://www.blogantivirus.com/variadas-actualizaciones-en-debian-linux MARIA Eva, “Newsletter”, CONSUMOTECA, http://www.consumoteca.com/diccionario/newsletter

Page 95: Carlos Camacho Comercio Electronico

95

MARKETING DIRECTO “Definición de Marketing Directo” http://www.marketingdirecto.com/definicion-de-marketing-directo/ REDACCION E&N “ Diez pautas para montar su negocio en la red”, Empresas y Negocios, http://estrategiaynegocios.net/tecnologia/Default.aspx?option=8242 SERVI WEB, “Pasarela de pago”, http://www.serviweb.es/servicios/diseno-web/pasarela-de-pago.php TOP GROUP, EDITORIAL “E-mail Marketing El Marketing directo suma Tecnología para una mejor comunicación” http://www.topgroup.com.ar/es/news/13/index.html UNIVERSIDAD DE CONGRESO “Seguridad en los negocios electronicos” http://www.ucongreso.edu.ar/grado/carreras/lcomer/2004/eco_mmerce/2004_Apunte_4.pdf

MICROSOFT, “MARKETING VIRAL EN INTERNET”, http://www.microsoft.com/business/smb/es-es/internet/marketing_viral_internet.mspx

WIKIPEDIA, “EsCERT e IRIS CERT”, http://es.wikipedia.org/wiki/EsCERT_e_IRIS-CERT WIKIPEDIA, “Mac OS X”, http://es.wikipedia.org/wiki/Mac_OS_X