Criptografa y seguridad en M-COMMERCE

Cryptography and security in M-COMMERCE

 

Ing. Cristhian Romero Romero[1]

cristhianromero@uees.edu.ec

Ing. Yasser Alvarado Salinas[2]

yalvarado@uees.edu.ec

Ing. Nixon Paladines Enriquez[3]

nr.paladines@alumnos.urjc.es

 

Fecha de recibo: septiembre 2016, Fecha de aceptacin: noviembre 2016

Resumen

El presente trabajo analiza los parmetros de seguridad ms utilizados en el comercio electrnico realizado a travs de dispositivos mviles (m-commerce), dentro de este se hace referencia a los tipos de cifrados que se usan con el fin de precautelar la seguridad de la informacin, as como tambin los algoritmos ms usados para mantener un alto nivel de confidencialidad, integridad y de disponibilidad de la informacin financiera de los usuarios. Se investig el nivel de seguridad que se obtiene mediante el uso de los distintos sistemas criptogrficos, y los protocolos ms utilizados (SSL-TLS-SE) en las plataformas disponibles para el intercambio de la informacin. A partir del estudio realizado, se puede concluir que varios de los sistemas de proteccin de informacin a nivel criptogrfico poseen ciertas falencias a nivel de los protocolos que son usados en las distintas plataformas. Por otra parte, los algoritmos A3, A5, RSA, 3DES y MD5 empleados de la manera correcta son tiles; resulta necesaria la investigacin de los restantes, utilizados a nivel del cifrado para comercio electrnico, puesto que se emplean de acuerdo a su requerimiento y arquitectura.

 

Palabras clave: Criptografa, Comercio mvil, SSL/SET, A3, A5, RSA, 3DES, MD5.

 

Abstract:

This paper analyzes the security parameters most commonly used in e-commerce made through mobile devices (m-commerce), within this refers to the types of encryption used in order to safeguard the security of the information, as well as the most common algorithms to maintain a high level of confidentiality, integrity and availability of financial information from users. The level of security obtained through the use of different cryptographic systems, and the most widely

used protocols (SSL-TLS-SE) in the available platforms for the exchange of information. Based on the research carried out, it can be conclude that several protection systems information cryptographic level have certain shortcomings in terms of the protocols that are used on various platforms. On the other hand, A3, A5, RSA, 3DES and MD5 algorithms employed in the correct way are useful, it is necessary to investigate the remaining algorithms used at the encryption level for e-commerce, as used according to your requirement and architecture.

 

Keywords: Cryptography, m-commerce, SSL/SET, A3, A5, RSA, 3DES, MD5.

 

 

Introduccin

En esta etapa de la globalizacin que el mundo ha vivido a travs del tiempo, el conocimiento se vuelve la herramienta que busca ser puesta a disposicin mundial, las diversas tecnologas de la informacin y comunicacin no dejan de sorprender con sus avances tanto en la velocidad como la calidad de datos que pueden administrar, de esta manera Prez-Montoro (2010) sugiere que se vuelve importante el hecho de generar nuevos mtodos de proteccin para la informacin que se enva a travs de cualquier entorno. Si bien a travs de los aos se ha procurado establecer sistemas cada vez ms seguros y confiables, tambin se procura mejorarlos en otros sentidos, muchas veces estos dos objetivos no son conseguidos de manera simtrica, segn Islas (2000), suelen ser aprovechados por algunas personas, aunque en la actualidad existe gran cantidad de protocolos que aseguran la calidad y la integridad de la informacin que se enva o recibe.

 

Una de las herramientas que ha tenido gran acogida dentro del mundo moderno es el comercio electrnico o e-commerce, ya que permite interactuar de tal manera que se eliminan en cierta forma el contacto fsico y la distancia, pero pueden ser vulnerables; algo a tener en cuenta segn L. M. Lpez, Mata, and Domnguez (2009).

 

Dentro del e-commerce, el m-commerce o comercio mvil hace referencia a las transacciones comerciales por medio del dispositivo mvil, para ello ha sido necesaria la elaboracin, desarrollo e implementacin de protocolos de seguridad, con el fin de proveer la mayor confiabilidad a ambas partes dentro del intercambio de informacin en la actividad comercial (Balado, 2005; M. B. Lpez & Vicario).

 

La criptografa se vuelve entonces la herramienta adecuada en este tipo de situaciones, al permitir cifrar informacin de una manera segura y que se ajuste a los requerimientos de los usuarios (Forouzan & Mukhopadhyay, 2011), esto mediante el uso adecuado de protocolos y algoritmos de seguridad, segn (Arturo, 2015; Pabn Cadavid, 2010b; Rodriguez, 2004); uno de los factores a tomar en cuenta es el tipo de conexin utilizada para la transmisin de la informacin y de los medios, ms all de los mecanismos de seguridad que se impongan dentro del sistema.

 

El presente trabajo tiene como objetivo realizar la descripcin y anlisis de los protocolos, plataformas y algoritmos implementados en e-commerce, principalmente a travs de dispositivos mviles, dentro de los cuales se necesita un elevado nivel de seguridad, debido a que implica transacciones financieras e informacin delicada de los usuarios y las empresas que oferten productos o servicios.

 

Marco Terico, la Criptografa

Es una ciencia sustentada en la utilizacin de las matemticas complejas, con el objetivo de acrecentar la seguridad de las transacciones informticas (Orozco, 2014). Los sistemas criptogrficos son diseados con el fin de ocultar la informacin, para descifrarla se requiere de una llave o clave (Merchn, 2013).

 

 

Las empresas que participan del e-commerce revisan constantemente sus protocolos de seguridad, en los que son utilizadas herramientas de criptografa. En los sistemas computarizados que presentan fallas en su seguridad, se utilizan tcnicas criptogrficas para prevenir este tipo de situaciones (Angel, 2000). La integridad, autenticidad y confiabilidad son las preocupaciones principales en cuanto a la seguridad de las transacciones comerciales de origen electrnico (Gamba, 2010).

 

Etimolgicamente proviene del griego Kryptos, escondido, y Graphos, escritura; literalmente se traduce como: escritura escondida (Pabn Cadavid, 2010a).

 

Segn de Miguel (2008) es la escritura de mensajes, de tal manera que una persona que quiera leerlo no pueda entenderlo, a menos que conozca cmo fue encriptado o cifrado. En lo referente a lo mencionado por Kem (2008), la criptografa se basa en algoritmos definidos y organizados, a los que corresponden una serie de sendas finitas, describen los pasos para dar solucin a un problema planteado, entonces todo algoritmo criptogrfico requiere de una clave con la extensin adecuada para ser interpretado (Mendoza & Csar, 2008).

 

La criptografa requiere de ciertos elementos (Pabn Cadavid, 2010a): el mensaje (informacin) que se desea transmitir, el sistema de comunicacin mediante el cual se enva el mensaje, y el sistema que permitir el cifrado y descifrado del mensaje (Pabn Cadavid, 2010). Para la consideracin de un criptosistema informtico, se debe tomar en cuenta las siguientes condiciones generales (Monzons, 2008): poseer un conjunto finito de unidades de mensajes para transmitir, un conjunto de textos cifrados, un conjunto de claves, un conjunto de funciones de cifrado y por ltimo las de descifrado.

 

Seguridad y Criptografa

De la necesidad de proteger de manera adecuada la informacin y los sistemas informticos que la administran, surge la seguridad informtica (Paredes, 2006).

 

Con el fin de que exista seguridad, confidencialidad, disponibilidad e integridad de la informacin que se desea resguardar, nace la criptografa como un elemento de seguridad informtica (Orozco, 2000); a pesar de esto la criptografa posee ciertas limitaciones, que se solucionan a medida que progresan los sistemas, tal es el caso de algoritmos que se degradan con el tiempo, como resultado del incremento de la velocidad y la potencia con la que los equipos de cmputo son elaborados (Lpez , 2013).

 

Cifrado Pblico Y Privado

 

Hace referencia a la criptografa simtrica (llave privada)

 

Figura 1.- Funcionamiento de una llave privada

 

Fuente: (Arturo, 2015)

 

Figura 2.- Funcionamiento de una llave pblica

 

 

 

 

Fuente: (Arturo, 2015)

 

La simtrica es llamada as porque las partes que intervienen poseen la misma clave tanto para cifrar como para descifrar, en cambio en la asimtrica se usa una para cifrar (llave pblica) y otra para descifrar (llave privada) (Arturo, 2015).

 

 

Firma Electrnica

Es un conjunto de datos agrupados a un mensaje o un componente de software, que garantiza la seguridad de la identidad del firmante y la probidad del mensaje (Rodrguez & Daz, 2006). Tambin es una modalidad de aplicacin de un procedimiento informtico criptogrfico a un documento de tipo digital, lo cual garantiza su integridad y autenticidad (Formentn, 2013), (Hoch, 2003), y consiste en un dispositivo de caracteres que acompaa a un documento o fichero certificando a su autor (acreditacin) y asegurando la integridad de la informacin (Consejera de Educacin y Ciencias, 2013).

 

La mayor y ms completa plataforma de firmas digitales es Docusign, es una de las ms completas de la industria en lo referente al manejo de firmas digitales en telfonos mviles. Dentro de las nuevas posibilidades que brinda est la posibilidad de emisin de documentos, la opcin de configurar la secuencia de los firmantes y de igual manera la firma en persona, productividad fuera de lnea, entre otras (Docusign, 2013).

 

Comercio Electrnico

Es un tipo de operacin comercial, donde la transaccin se hace a travs de un sistema de comunicacin electrnico, eliminando el contacto fsico entre comprador y vendedor (Balado, 2005).

 

Tipos De Amenazas

Dentro de los tipos de amenazas en relacin a la seguridad informtica, est el eavesdropping, que toma su significado literalmente como la posibilidad de escuchar conversaciones sin autorizacin del emisor, segn Bru (1998); el masquerading es la recepcin o el envo de mensajes usando la identidad de un comercio de tipo electrnico (Forouzan & Mukhopadhyay, 2011); message tampering, que se refiere a la posibilidad de interceptar y modificar mensajes que han sido enviados a un servicio de e-commerce (Vigna, 1998); replaying que es la utilizacin de mensajes enviados de una manera previa, para engaar a una tienda electrnica con el fin de obtener algn beneficio. Entre otros tipos existentes es posible nombrar brevemente, segn Reiter (2015): infiltration, traffic analysis y denial of service.

 

Tipos de Amenazas de Seguridad en Dispositivos Mviles

Falta de acceso a los recursos del servidor de usuarios.

Ataques DOS.

Web jacking: vandalismo en los sitios.

TCP/IP SYN ataque.

Saturacin del servidor con las peticiones de URL.

PING de la muerte (Sambana, 2016)

 

Protocolos De Seguridad Ssl (Secure Sockets Layer) y Tls (Transport Layer Security)

El SSL/TLS constituye un protocolo de seguridad, el cual citando a Davies (2011), es funcional para cualquier aplicacin de internet, siendo posible implementarlo dentro del e-commerce.

 

SET (Secure Electronic Transaction)

Protocolo especialmente diseado para el comercio electrnico, requiere la utilizacin de tarjetas de crdito (Meihua Xiao, Zilong Wan, & Hongling Liu, 2014)

 

DISPOSITIVOS MVILES Y E-COMMERCE

Una de las principales caractersticas del e-commerce y la mayor ventaja, es la desaparicin de intermediarios y la implementacin de nuevos componentes a la transaccin como: tecnologa, acceso a la red, seguridad, certificacin y proteccin de la informacin que se administra. Habitualmente su seguridad est dada mediante las siguientes tcnicas y protocolos que indica Ponce Vsquez (2002):

Transporte: Protocolos TLS6, WTLS7.

Contenidos: Proteccin de la propiedad intelectual

(Watemarking, Fingerprinting).

Acceso: Firewalls, SHH.

Autora: Firma digital.

 

Dado que el e-commerce est siendo aceptado a una velocidad realmente impresionante, no se puede dejar de contemplar a su vez el mobile commerce o el comercio mvil, que hasta donde sugiere Abad (2007), es la realizacin de transacciones del tipo comercial a travs de dispositivos mviles (tabletas o telfonos). La exitosa entrada de la telefona mvil a nivel mundial, representa

un importante punto que viene siendo aprovechado para la realizacin del e-commerce sobre entornos inalmbricos, segn Sandor Otero Rodriguez (2016), aunque para muchos poseen desventajas que deben ser solucionadas, como el ancho de banda, la mayor latencia y la estabilidad de la conexin; sin duda alguna el factor determinante a ser tratado es la seguridad.

 

En el m-commerce se utiliza entidades de software e internet, para conectarse confiablemente, garantizando la autentificacin, la confidencialidad e integridad de los procesos que lleven a cabo.

 

M-Commerce y M-Payment

El m-payment hace referencia a los procesos para el intercambio de valores financieros usando un dispositivo mvil, segn varios autores (Duane, OReilly, & Andreev, 2014; Thomas, 2002), constituye una manera insegura de realizar transacciones financieras.

 

M-Commerce Aspectos de Seguridad

Dentro de las principales tecnologas claves para el uso de pago mvil, estn las mencionadas por Kadhiwal and Zulfiquar (2007): WAP; redes, incluyendo GSM, GPRS, 3G; software para pago mvil; Bluetooth; Smart Card y SIMs.

 

El temor de la mayora de usuarios es ser vctimas de fraudes, una de las tecnologas que termite disipar estos temores es PKI (Public Key Infrastructure), segn Ardila (2013), es una infraestructura independiente de las aplicaciones que han sido basadas en servicios de criptografa mediante claves, brinda confidencialidad y seguridad a los usuarios (Pascale, 2000). En cuanto a las redes mviles existe WPKI (Wireless Public Key infrastructure). (Mobile payment security gets smart, 2001).

 

Tabla 1.- PKI y otros sistemas de seguridad en internet

 

Fuente: (Elaboracin propia)

 

Dentro del m-commerce es indispensable la seguridad, pero no la proporciona la especificacin de la capa de seguridad WTLS (Wireless Transport Layer Security de WAP), segn lo mencionado por Fuquene (2008), aunque el uso de WTLS y la seguridad a nivel de la capa de transporte TLS permite una mayor privacidad en los canales inalmbricos e internet, no es suficiente para el e-commerce. Se sugiere el uso de una capa nueva dentro de WAE (Wireless Application Environment), llamada WAE-SEC (Meihua Xiao et al., 2014).

 

Existen modelos que permiten obtener seguridad en el entorno del m-commerce (Fig. #3), dado que el modelo WAP es muy similar al WWW, posee varias de sus caractersticas que son modificadas en el caso del m-commerce (J. R, 2006).

 

Figura 3.- Modelo WAP para e-commerce.

 

Fuente: (Ardila, 2013).

 

WAE permite en cierta manera procesar ms adecuadamente los servicios de servidores web actuales, estos usan los URL estndar, segn Ardila (2013) WAE mejora algunos de los estndares WWW adecundolos a las caractersticas de los mviles y de las redes, por medio de una pasarela que se encarga de codificar y decodificar los datos con el fin de minimizar la carga y el coste de los datos.

 

La utilizacin de WTLS para proveer de seguridad en la comunicacin entre terminales puede verse en la figura 4, donde se observa que en la parte de la derecha la pasarela recoge los mensajes codificados con TLS del servidor para convertirlos en WTLS, as mismo las peticiones del telfono hacia el servidor realizan el camino inverso.

 

Figura 4.- Entidades que intervienen en una transaccin Comercial.

 

 

Fuente: (Ardila, 2013)

 

Seguridad a Nivel Criptogrfico

El principal requerimiento del m-commerce es la posibilidad de realizar pagos a travs del dispositivo mvil, por ello resulta indispensable la generacin de aplicaciones con altos niveles de seguridad extremo a extremo, en los dispositivos y en la red mediante la cual se realizar la transaccin, segn Lek and Rajapakse (2012).

 

Cifrado de Extremo a Extremo (E2ee)

Tambin denominado End to End encryption, este cifrado supone un extremado nivel de seguridad, el 100%, y es logrado gracias a la utilizacin de un mdulo hardware y de algoritmos nicos; en estos casos los datos que sern enviados se cifran en el dispositivo del remitente, de esta manera el nico capaz de descifrarlo es el destinatario (Ron, de las Mercedes, & Ortega Briones, 2009).

 

Protocolos Ssl y Set en M-Commerce

Segn Romero Cando (2005) el SSL es un sistema que asegura una conexin encriptada a travs de un esquema denominado mixto, usa el sistema simtrico y asimtrico, como a continuacin se detalla: La clave simtrica se cifra con la clave pblica, de esta manera el mensaje saliente es cifrado con la clave simtrica, todo combinado automticamente en un solo paquete, as el destinatario usa su clave privada para descifrar la clave simtrica y seguido a esto usa la clave simtrica para descifrar el mensaje, adems mediante el uso de un certificado digital proveniente de una autoridad certificadora se garantiza que la clave pblica que estar en los dispositivos mviles corresponde a la clave privada del servidor, comnmente los algoritmos usados en este esquema suelen ser RSA o DSA para cifrado asimtrico y RC4, IDEA o 3DES para el simtrico.

 

Para construir una estructura confiable de e-commerce se necesita la participacin de dos elementos: certificados para servidores y sistemas de pago seguro en lnea.

 

Dentro de los diferentes protocolos de seguridad existentes, para transmitir informacin a travs de un entorno tan inseguro como es el internet existen muchos, pero los protocolos SSL y SET son los ms usados en aplicaciones de comercio electrnico (Quintana & Alcivar, 2003), siendo el primero un protocolo para encriptar transmisiones TCP/IP y el otro para el envo de instrucciones de pago a travs de internet.

 

El mundo del internet habitualmente utiliza el protocolo SSL, porque dispone de un nivel seguro de transporte entre el servicio clsico TCP y las aplicaciones que lo utilizan como va de transporte, como garante de la seguridad a servicios como la compra o venta y transacciones bancarias (M. B. Lpez & Vicario).

 

El protocolo SSL se compone de dos partes: el Handshake (establece conexin verificando de manera opcional la identidad de las partes y as determinando los parmetros que sern utilizados posteriormente) y la otra Record Protocol (comprime, cifra, descifra y a su vez verifica la informacin que se transmite luego de realizado el Handshake) (L. M. Lpez et al., 2009). SSL posee tres capas: una capa de mensaje, una de registros (records y alertas) y la capa de transporte (Cobas, 2005).

 

Debido a su estructura, su uso se hace frecuente en compras o transacciones seguras, sobre todo si son dadas para un TPV (Tunel Private Virtual) proporcionado por un banco, dado que no hay manera de conocer si quien usa una tarjeta es el propietario de la misma Visa y Mastercard crearon SET, para de esta manera poder brindar la irrenunciabilidad en el pago mediante tarjetas de crdito.

 

Tabla 2.- Comparacin de los protocolos de seguridad.

 

 

Fuente: (L. M. Lpez et al., 2009).

 

El SSL reemplaza una conexin va HTTP por otra HTTPS, siendo de esta manera el medio ms estandarizado para la transmisin de datos en internet, sobre todo en lo referente a las aplicaciones o sitios de comercio electrnico.

 

Cifrados Gsm

Debido al envo de informacin area de los telfonos celulares, se presenta un entorno que se vuelve inseguro ante la presencia de intrusos con los receptores adecuados, por ello en la tecnologa GSM se crearon varias funciones de seguridad para salvaguardar la informacin, segn relata Sandor Otero Rodriguez (2016).

 

GSM utiliza una clave de cifrado con el fin de resguardar la informacin del usuario y la sealizacin de la interfaz en el aire; una vez que el usuario es autenticado, el RAND (nmero aleatorio de 128 bits suministrado por la red); junto con el KI (clave de autenticacin) son enviados a travs del algoritmo de generacin de claves de cifrado A8, con el fin de producir una KC (clave de cifrado), luego de ello el A8 se almacena en la SIM, entonces el KC creado por A8 se utiliza en conjunto con el algoritmo de cifrado A5 para cifrar o descifrar los datos. A5 es implementado en el hardware del celular, puesto que tiene que cifrar y descifrar durante la marcha (Sandor Otero Rodriguez, 2016).

 

Aunque el WAP fue diseado de manera inicial para trabajar con cualquier tecnologa mvil existente, actualmente la ms usada por WAP es el entorno GSM, se considera que los mecanismos de cifrado de GSM no suelen ser lo suficientemente seguros para cualquier transaccin conducida mediante WAP, principalmente por la debilidad de los algoritmos y de igual manera por la porcin de camino protegida que se extiende desde la terminal mvil a la BTS (Estacin transceptora base).

 

Figura 5.- Arquitectura de WAP

 

Fuente: (M. B. Lpez & Vicario)

 

 

 

ALGORITMOS UTILIZADOS EN M-COMMERCE

 

Tabla 3.- Principales algoritmos usados en e-commerce / m-commerce

 

 

Fuente: Elaboracin propia

 

En cuanto a los algoritmos A3, A5 y A8, que son comunes en el cifrado de los datos del usuario; A3 es dependiente del operador, es unidireccional, sencillo de calcular los datos de salida, pero muy complejo recuperar los parmetros de entrada (KI Y RAND) (Amador Donado, Ortiz, & Lpez, 2011).

 

A5

Los ms usados son A5/0, que viene sin cifrado; A5/1 es usado en Europa Occidental y Amrica; y A5/2 en Asia (Sandor Otero Rodriguez, 2016).

 

A5/1 es el ms fuerte porque funciona como un cifrado que realiza la operacin xor de tres registros (controlados por un reloj) con el flujo a cifrar, as el bit que controla el reloj de cada registro, es resultante de una funcin mayoritaria entre 3 bits centrales de cada registro, la longitud de los 3 son 19, 22 y 23 bits (por lo que la longitud de llave es de 64 bits) (Rodriguez, 2004).

 

Algoritmo de Cifrado de Generacin de Clave

Es un algoritmo dependiente del operador, aunque en la mayora de proveedores se combinan los algoritmos A3 y A8 para dar una funcin hash llamada COMP128, as este crea el KC y SRES en una misma instancia (Amador Donado et al., 2011).

 

RSA RIVEST, SHAMIR Y ADLEMAN

Constituye uno de los ms utilizados en lo referente a clave asimtrica, mayormente para el cifrado de pequeas cantidades de datos, como claves y firmas digitales (Franchi, 2013, p. 28). No est diseado con el fin de reemplazar a otros simtricos, debido a su lentitud de cmputo y el aumento que posee el tamao del mensaje que se cifra, su utilidad est centrada al permitir un intercambio seguro de claves que luego algoritmos como AES (Advanced Encryption Standard) puedan llevar el cifrado de una manera mucho ms eficiente, segn (Arturo, 2015; Quisquater & Couvreur, 1982).

 

Su seguridad se logra del problema de factorizacin de nmeros enteros, los mensajes enviados se representan mediante nmeros, el funcionamiento se basa en el producto conocido de dos nmeros primos elegidos al azar y no revelados (Garca, Morales, & Gonzlez, 2005)

 

Figura 6.- Diagrama del RSA

 

Fuente: (ULPGC)

 

DSA DIGITAL SIGNATURE ALGORITHM

Es uno de los principales utilizados para dar la entidad al DSS (Digital Signature Standard). El cual es adoptado por los Estados Unidos para la implantacin de firma digital (Naccache & Mraihi, 1995).(Panchal, 2015).

 

 

 

 

 

 

 

 

 

 

Figura 7.- Diagrama del DSA

 

Fuete: (UNAM)

 

ADVANCED ENCRYPTION STANDARD (AES)

Actualmente es uno de los ms utilizados como parte de los algoritmos de cifrado simtrico, fue desarrollado por los estudiantes Vincent Rijmen y Joan Daemen de la Katholieke Universeit Leuven en Blgica, bajo el nombre de Rijndael (Pousa, 2011, p. 13). Se basa en un cifrado por bloques, inicialmente con longitud variable, pero el estndar define el tamao en 128 bits, entonces los datos son divididos en segmentos de 16 bytes, donde cada segmento puede ser visto como un bloque o matriz 4x4 (Shakir, Abubakar, Yousoff, & Sheker, 2016).

 

Figura 8.- Cifrado AES

 

Fuente: (Pousa, 2011)

 

CRIPTOGRAFA CON CURVAS ELPTICAS ECC (ELIPTIC CURVE CRYPTOGRAPHY)

Como solucin a la longitud de las claves de RSA, ECC constituye uno de los algoritmos ms nuevos de esta familia de clave pblica, (Belingueres, 2000). Puede brindar el mismo nivel de seguridad que el RSA o DH, pero utilizando operandos mucho ms cortos (160-256 bits contra 1024-3072 bits) (Vera Parra, Alfonso Lpez, Caro, & Cristyan, 2014); adems, se basan en el problema de logaritmo discreto (Gmez & Echeverry).

DES (DATA ENCRYPTION STANDARD)

Este algoritmo utilizado de la manera apropiada puede constituir una importante barrera de seguridad, su arquitectura se basa en un sistema mono alfabtico, aqu se aplican continuas permutaciones y sustituciones al texto por el algoritmo cifrado (Kaba, 2008).

 

Aunque es el algoritmo simtrico ms conocido y utilizado en el mundo, se considera inseguro, principalmente por el tamao de clave de 56 bits (Zibideh & Matalgah, 2015).

 

En la prctica, es calificado como seguro, pero en su variante triple DES.

 

Figura 9.- Estructura de red de fiestel para el algoritmo

DES

 

Fuente: (NISU.ORG)

 

Creacin estuvo a cargo de IBM. Actualmente empieza a desaparecer, siendo reemplazado por AES (Saran, 2005); sin embargo, existe una variante conocida como DES EDE3, la cual posee 3 claves diferentes y longitud de 192 bits, creando as un sistema de seguridad mucho ms robusto (Hielscher & Delgado, 2006).

 

RC4

En 1987 se desarrolla el RC4, un algoritmo considerado inmune al criptoanlisis diferencial y lineal, es comnmente usado para el cifrado WEP de la mayora de accesos WIFI (Hielscher & Delgado, 2006), Es muy seguro, pero aun as el protocolo WEP se considera vulnerable, esto principalmente por problemas con el propio protocolo que dan la posibilidad de determinar la clave en un periodo corto.

 

IDEA (International Data Encription Algorithm)

Algoritmo cifrado por bloques de 64 bits y emplea claves de 128 bits, a pesar de utilizar claves ms largas es considerado dos veces ms rpido que DES (Gonzlez et al., 2002).

 

MD5

Se ha vuelto popular en la seguridad del comercio electrnico, procesa los mensajes de entrada en bloques de 512 bits y produce una salida de 128 bits (Santra & Nagarajan, 2012). Resulta til como firma digital de aquellos mensajes que sern compactados y encriptados mediante criptosistema de llave pblica. MD5 toma como entrada un mensaje con una longitud arbitraria y

como salida se obtiene una huella digital con 128 bits del mensaje denominado message-digest (resumen o compendio del mensaje) (Kaba, 2008).

 

Conclusiones y Limitaciones de Trabajos Futuros

El m-commerce debe realizarse a travs de plataformas, servidores y protocolos que aseguren que el proceso ser exitoso. El problema general que poseen lo mviles en cuestin de seguridad, es que el acceso a la encriptacin sin cable no puede cubrir la conexin entera. Los datos en internet son encriptados con SSL y en la conexin sin cable algunas veces con WTLS, pero el sistema es vulnerable en la pasarela cuando no se utilizan los protocolos correctos.

 

Una vez que se alcance la seguridad deseada en el entorno web y principalmente en las conexiones inalmbricas de dispositivos mviles, el comercio electrnico se volver la herramienta ms idnea para resolver asuntos comerciales.

 

El nivel de seguridad que actualmente se obtiene de los algoritmos utilizados para la encriptacin de la informacin comercial que se maneja en las distintas plataformas, como se mencion en un apartado el algoritmo RSA constituye uno de los ms usados, pues conceptualmente se considera que es lo bastante seguro para su utilizacin, sin embargo existen algunos puntos dbiles en la forma de utilizarlo, los cuales pueden ser aprovechados por los atacantes, entre los principales puntos est la debilidad de las claves, puesto que en ciertos casos, RSA deja el mensaje igual al original y sumado a esto la posibilidad de un ataque intermediario en cualquier algoritmo asimtrico.

 

Para efectos de mayor seguridad del comercio electrnico, lo ms recomendable es usar la variacin 3DES.

 

Dentro de la existencia de otros algoritmos como RC4 o MD5, empleados en diferentes protocolos, si bien es cierto comprenden sistemas de encriptacin seguros, el verdadero problema surge al aplicarse en protocolos que de por s poseen ciertas vulnerabilidades.

 

En cuanto al nivel de seguridad que se brinda en los sistemas de comercio electrnico, muchas de las falencias de seguridad se originan por el surgimiento de tecnologas capaces de ser empleadas en la desencriptacin de la informacin, adems de esto, otras de las vulnerabilidades son los protocolos que suelen ser ineficientes o estar desprotegidos en ciertas partes, dejando as un espacio para un ataque con el fin de obtener la informacin encriptada.

 

La seguridad en los sistemas de e-commerce debe ser mejorada en funcin del avance de la tecnologa, los algoritmos utilizados deben ser adecuados de acuerdo a los protocolos, los canales y las necesidades de transmisin de informacin cifrada, esto en conjunto con la respectiva certificacin de las actividades ante el sector financiero, por ser acciones comerciales.

 

Dentro de las lneas de investigaciones futuras, se puede plantear el mejoramiento de los sistemas de verificacin de usuarios en lo correspondiente a la informacin de seguridad entregada a las plataformas, ya que si el nivel de seguridad de la plataforma resulta deficiente y la informacin de seguridad de los usuarios resulta vulnerada, el no repudio de las transacciones comerciales con esa informacin representara un gran inconveniente tanto financiero como legal, en este sentido para el usuario y la plataforma que se utilice.

 

As mismo surge cierta necesidad en la investigacin de los nuevos mtodos de seguridad, ante las nuevas tecnologas de la informacin que apenas surgen, como Li-fi.

 

Referencias Bibliogrficas

Abad, S. (2007). EL COMERCIO ELECTRNICO.

Adrados, A. R. (2000). La firma electrnica. Papepresented at the Anales de la Real Academia de jurisprudencia y legislacin.

Amador Donado, S., Ortiz, M., & Lpez, F. (2011). Riesgos del algoritmo A3 en el cifrado de telefona celular. Generacin Digital(15).

Angel, J. d. J. A. (2000). Criptografa para principiantes. Obtenido en la Red Mundial el, 5.

Ardila, H. J. F. (2013). M-commerce: el nuevo protagonista del comercio electrnico. Vnculos, 4(1), 62-77.

Arturo, R. G. (2015). Criptografa de llave pblica.

Balado, E. S. (2005). La Nueva Era Del Comercio/ the New Era of Commerce: El Comercio Electronico, Las Tics Al Servicio De La Gestion Empresarial: Ideaspropias Editorial SL.

Belingueres, G. (2000). Introduccin A Los Criptosistemas de Curva Elptica. Obtenido en la Red Mundial el, 5.

Bru, D. (1998). Optimal eavesdropping in quantum cryptography with six states. Physical Review Letters, 81(14), 3018.

Cobas, J. D. G. (2005). Secure Sockets Layer (SSL): Mayo.

Davies, J. A. (2011). Implementing SSL / TLS Using Cryptography and PKI. Hoboken, N.J.: Wiley.

de Miguel, R. (2008). Criptografa clsica y moderna.

DocuSign, I. (2013). DocuSign Establece el Estndar Mundial para la Firma Electrnica

(eSignature) Mvil.

Duane, A., OReilly, P., & Andreev, P. (2014). Realising M-Payments: modelling consumers

willingness to M-pay using Smart Phones. Behaviour & Information Technology, 33(4), 318-334. doi:10.108 0/0144929X.2012.745608

Forouzan, B. A., & Mukhopadhyay, D. (2011). Cryptography And Network Security (Sie): McGraw-Hill Education.

Franchi, M. R. (2013). Algortimos de encriptacin de clave asimtrica. Facultad de Informtica.

Fuquene, H. (2008). M-commerce: el nuevo protagonista del comercio electrnico. Vnculos, 4(1), 62-77.

Gamba, J. (2010). Panorama del derecho informtico en Amrica Latina y el Caribe.

Garca, L., Morales, G., & Gonzlez, S. (2005). Implementacin del algoritmo RSA para su uso en el voto electrnico. Paper presented at the Simposio acerca de las urnas electrnicas para la emisin del voto ciudadano.

Gmez, C. B., & Echeverry, G. A. I. Bases matemticas y aplicaciones de la criptografa de curvas elpticas.

Gonzlez, I., Gmez, F., Lpez-Buedo, S., Martnez, J., Deschamps, J., Boemo, E., & Martnez, J. (2002). Implementacin del Algoritmo Criptogrfico IDEA en Virtexusando JBits. II Jornadas de Computacin Reconfigurable y Aplicaciones, 155-160.

Hielscher, R. P., & Delgado, V. (2006). Introduccin a la Criptografa: tipos de algoritmos. Paper presented at the anales de mecnica y electricidad. Hoch, F. G. (2003). La prueba de las obligaciones y la firma electrnica. Revista Chilena de Derecho Informtico(2).

Islas, O. (2000). Internet: el medio inteligente: Compaa Editorial Continental.

J. R, Q. (2006). E-COMMERCE. PC Magazine, 25(18), 92-98.

Kaba, I. (2008). Elementos bsicos de comercio electrnico. Editora Universitaria, La Habana, Libro en versin digital [Links].

Kadhiwal, S., & Zulfiquar, A. U. S. (2007). Analysis of mobile payment security measures and different standards. Computer Fraud & Security, 2007(6), 12-16.

Kem, S. (2008). Introduccin a la informtica concepto de algoritmos.

La Criptografa como elemento de la seguridad informtica. (2003). ACIMED, 11(6), 90-97.

Lek, K., & Rajapakse, N. (2012). Cryptography : Protocols, Design, and Applications. Hauppauge, N.Y.: Nova Science Publishers, Inc.

Lpez, L. M., Mata, F. M., & Domnguez, R. M. R. (2009). Sistemas de pago seguro. Seguridad en el comercio electrnico. Revista de estudios empresariales. Segunda poca (1).

Lpez, M. B., & Vicario, L. S. D. SEGURIDAD EN MVILES DE SEGUNDA GENERACIN.

Meihua Xiao, x. e. e. c., Zilong Wan, n. c., & Hongling Liu, n. c. (2014). The Formal Verification and Improvement of Simplified SET Protocol. Journal of Software (1796217X), 9(9), 2302-2308. doi:10.4304/ jsw.9.9.2302-2308

Mendoza, T., & Csar, J. (2008). Demostracin de cifrado simtrico y asimtrico.

Merchn, M. (Producer). (2013). Identidad digital y firma electrnica. Retrieved from www. https:// vozyvoto.files.wordpress.com/2013/03/capitulo3_identidad-y-firma.pdf

Mobile payment security gets smart. (2001). Financial Technology Bulletin, 18(16), 2.

Monzons, F. J. A. SISTEMAS INFORMTICOS.

Naccache, D., & Mraihi, D. (1995). System for

improving the digital signature algorithm: Google Patents.

Orozco, G. N., J. (Producer). (2014). Introduccin a la criptografa [Powert Point] Retrieved from http://patux.net/downloads/crypto/crypto.pdf

Ore Lpez, A. (2013). Contribucin al estudio del criptoanlisis y diseo de los criptosistemas caticos. Telecomunicacion.

Pabn Cadavid, J. A. (2010a). La criptografa y la proteccin a la informacin digital. La Propiedad Inmaterial(14).

Pabn Cadavid, J. A. (2010b). LA CRIPTOGRAFA Y LA PROTECCIN A LA INFORMACIN DIGITAL. THE CRYPTOGRAPHY AND THE PROTECTION OF

DIGITAL INFORMATION.(14), 59-90.

Panchal, P. (2015). Mobisecure using DSA. International Journal of Advanced Research in

Computer Science, 6(8), 88-92.

Paredes, G. G. (2006). Introduccin a la Criptografa. Revista Digital Universitaria, 7(7).

Pascale, M. (2000). Firma Digital. Paper presented at the Memorias VUl Congreso Iberoamericano de Derecho e Informtica.

Prez-Montoro, M. (2010). Arquitectura de la informacin en entornos web. El profesional de la informacin, 19(4), 333-337.

Ponce Vsquez, D. A. (2002). Contribucin al desarrollo de un entorno seguro de m-commerce.

Pousa, A. (2011). Algoritmo de cifrado simtrico AES. Facultad de Informtica.

Quintana, B., & Alcivar, A. (2003). Implementacin de un modelo de comercio electrnico para una empresa privada. QUITO/EPN/2003.

 

Quisquater, J.-J., & Couvreur, C. (1982). Fast decipherment algorithm for RSA public-key cryptosystem. Electronics letters, 18(21), 905-907.

Reiter, G. (2015). Securing all devices in the Internet of Things. ECN: Electronic Component News, 59(6), 20-22.

Rodriguez, S. M. H. (Producer). (2004). Implementacion del algoritmo A5/1 (Cifrado de flujo de datos).

Romero Cando, W. F. (2005). Determinacin de los procedimientos para la implementacin del protocolo SSL (Secure Sockets Layer) en redes mviles. QUITO/EPN/2005.

Ron, Z., de las Mercedes, E., & Ortega Briones, J. R. (2009). Anlisis de la problemtica de interconexin en Ecuador entre los sistemas troncalizados y las redes telefnicas fijas y celulares.

Sambana, B. b. g. c. (2016). An Efficient Authentication and Payment Method for M-Commerce. Computer Science & Telecommunications, 47(1), 58-63.

Sandor Otero Rodriguez, M. M. S. (2016). SEGURIDAD EN REDES GSM. http://www.informaticahabana.cu/sites/default/files/ponencias/TEL14.pdf

Santra, A. K. d. c. n. s. g. c., & Nagarajan, S. (2012). A Modified MD5 Algorithm for Wireless Networks. International Journal of Advanced Research in Computer Science, 3(2), 292-297.

Saran, C. c. s. r. c. u. (2005). Passwords for Oracle was cracked in 20 days. Computer Weekly, 4-4

Shakir, M., Abubakar, A. B., Yousoff, Y. B., & Sheker, M. (2016). IMPROVEMENT KEYS OF ADVANCED ENCRYPTION STANDARD (AES) RIJNDAEL_M. Journal of Theoretical & Applied Information Technology, 86(2), 216-222.

Thomas, D. (2002). Vodafone seeks m-payment standards. Computer Weekly, 8.

Vera Parra, N. E., Alfonso Lpez, D., Caro, M., & Cristyan, H. (2014). Simulation test-bed for the evaluation of elliptic curve cryptography on next generation wireless IPv6-enabled networks. Tecnura, 18(41), 27-37.

Vigna, G. (1998). Cryptographic traces for mobile agents Mobile agents and security (pp. 137-153): Springer.

Zibideh, W. Y., & Matalgah, M. M. (2015). Modified data encryption standard encryption algorithm with improved error performance and enhanced security in wireless fading channels. Security & Communication Networks, 8(4), 565-573. doi:10.1002/sec.1003

 

 



[1]Maestrante en Auditora de Tecnologas de la Informacin, Universidad Espritu Santo

[2]Maestrante en Auditora en Tecnologas de la Informacin, Universidad Espritu Santo

[3]Maestrante en Ingeniera de Sistemas de Informacin Universidad Rey Juan Carlos

 

Enlaces refback

  • No hay ningún enlace refback.


SÍGUENOS:


Dirección: Urdesa Central, Guayacanes 520 y la 5ta. Guayaquil - Ecuador | PBX ADMISIONES: (593) 4 6052450 PBX: (593) 4 6020400

Copyright © 2017 Universidad Tecnológica Empresarial de Guayaquil. Todos los Derechos Reservados.