1. LA CRIPTOGRAFÍA EN LA SEGURIDAD BANCARIA
Claudia Romero, Alexandra Fonseca, Mónica Navarro
Estudiantes Ingeniería de Sistemas - UNAD
claoeusse52@gmail.com, al52fon683@unadvirtual.edu.co,
mo52nav256@unadvirtual.edu.co
Resumen
Debido a la masificación de las herramientas tecnológicas y su uso en el
comercio electrónico, se ha generado una avalancha de información importante
que viaja por las redes. Esta información generalmente representa dinero y
debido a que en su forma estándar, el viaje de la información es plano, es
decir, no tiene ningún nivel de seguridad, es fácil de identificar, lo que lleva a un
riesgo de seguridad altísimo.
Por eso es necesario tener adecuaciones que permitan seguir utilizando estos
medios, pero de manera segura.
La criptografía se convirtió en una aliada de la tecnología, al permitir proteger la
información que viaja en la red, haciendo que sea posible realizar
transacciones bancarias con total confianza, que la información llegará a su
destino igual a la enviada y que esta no podrá ser descifrada en el camino.
Así, la criptografía permite ser una herramienta más de la ingeniería, que da
apoyo o otras áreas y procesos de la vida.
1. COMERCIO ELECTRONICO Y LA SEGURIDAD
El comercio electrónico se define como el intercambio de información entre dos
entidades y del cual se genera una relación comercial, utilizando técnicas EDI
(Intercambio Electrónico de Datos). Su principal característica es la de los
beneficios que ofrecen de comunicación en tiempo real, pero es necesario que
cumpla los requisitos técnicos y jurídicos de seguridad.
Este tipo de comercio está regulado por normas nacionales e internacionales,
que permiten disminuir los riesgos de pérdida o modificación de la información.
- Ley 527 De 1999. Por medio de la cual se define y reglamenta el acceso y
uso de los mensajes de datos, del comercio electrónico y de las firmas
digitales, y se establecen las entidades de certificación y se dictan otras
disposiciones.1
1
Tomado de:
http://www.secretariasenado.gov.co/senado/basedoc/ley/1999/ley_0527_1999.html
2. Las entidades bancarias para agilizar y mejorar el servicio a los clientes, han
hecho uso de los avances tecnológicos, dándole la posibilidad a los usuarios de
realizar todo tipo de transacciones desde un computador, sin que tengan que
desplazarse a las oficinas del banco, con grandes cantidades de dinero.
En todas las transacciones bancarias existen riesgos, pero al hacer uso de la
tecnología y teniendo en cuenta que esta información puede ser accesible
desde internet, estos riesgos se incrementan haciendo que puedan ser
expuestos a ataques maliciosos de hacker, virus, robos de información,
destrucción de datos y fraudes.
Aunque a través de la evolución de las comunicaciones, se han mejorado los
sistemas de seguridad, la percepción de los usuarios respecto a la seguridad
de la información aun no es lo suficiente para llegar al nivel de otros países, en
donde el porcentaje del uso de las herramientas de comercio electrónico es
mayor.
En Colombia hemos mejorado los niveles de seguridad, por un lado aplicando
las buenas prácticas aprendidas por la experiencia de otros países y por otro
lado por los ataques recibidos en las entidades financieras, como por ejemplo
los ataques de phishing, de los que fue víctima la entidad Bancolombia 2 y de
los cuales varios usuarios se vieron afectados.
2. LA ENCRIPTACIÓN
La palabra criptografía 3 es un término genérico que describe todas las técnicas
que permiten cifrar mensajes o hacerlos ininteligibles sin recurrir a una acción
específica. El verbo asociado es cifrar.
La criptografía es el método más utilizado por las empresas o entidades
bancarias, debido a la necesidad de mantener segura la información
correspondiente a las transacciones realizadas por los clientes y su información
de acceso; debido a su lenguaje por método de cifrado que facilita el
ocultamiento de la información real, la criptografía es la herramienta perfecta
como método de seguridad, seguramente cuando lo griegos generaron este
invento no se imaginaron la trascendencia de la criptografía y la evolución a
través de la tecnología, pues su evolución tecnológica se ha apoyado en las
matemáticas para lograr ser más compleja y casi imposible descifrar el
contenido de la información transmitida.
Las características más importantes de la criptografía es la seguridad, esta es
su característica principal.
2
Consultado en: http://m.eltiempo.com/economia/empresas/bancolombia-responde-ante-los-
problemas-de-sus-servicios-en-linea/9112360/1
3
Tomado de: http://www.slideshare.net/guestf4c748/criptografia-3442463.
3. Otra característica principal es la integridad, dado que a pesar de cifrar la
información la misma se conserva cuando y se identifica cuando llega a su
destino.
La criptografía se ocupa de:
Confidencialidad. Garantiza que la información está accesible únicamente a
personal autorizado. Para conseguirlo utiliza códigos y técnicas de cifrado.
No repudio: Proporciona protección frente a que alguna de las entidades
implicadas en la comunicación, pueda negar haber participado en toda o parte
de la comunicación. Para conseguirlo se puede usar por ejemplo firma digital.
Integridad: Garantiza la corrección y completitud de la información. Para
conseguirlo puede usar por ejemplo funciones hash criptográficas MDC,
protocolos de compromiso de bit, o protocolos de notarización electrónica.
Autenticación: Proporciona mecanismos que permiten verificar la identidad del
comunicante. Para conseguirlo puede usar por ejemplo función hash
criptográfica MAC o protocolo de conocimiento cero.
Un sistema criptográfico es seguro respecto a una tarea si un adversario con
capacidades especiales no puede romper esa seguridad, es decir, el atacante
no puede realizar esa tarea específica.
La criptografía se usa no sólo para proteger la confidencialidad de los datos,
sino también para garantizar su integridad y autenticidad.
La mayor ventaja de la criptografía es que la distribución de claves es más fácil
y segura ya que la clave que se distribuye es la pública manteniéndose la
privada para el uso exclusivo del propietario
La aparición de las Tecnologías de la Información y la Comunicación y el uso
masivo de las comunicaciones digitales han producido un número creciente de
problemas de seguridad. Las transacciones que se realizan a través de la red
pueden ser interceptadas. La seguridad de esta información debe garantizarse,
la mejor forma es la de aplicar la Criptografía.
3. EL PROBLEMA Y LA SOLUCION
En la Organización Mundial de Cobranzas e Inmobiliaria se cuenta con la
gerencia Financiera, dentro de la cual se tiene conformada el área de Gestión
de Pagos y Tesorería. Esta jefatura es la encargada analizar, controlar y
ejecutar la causación y verificación de facturas, la realización de los pagos y el
registro de los ingresos de la compañía.
El proceso de pagos y recaudos implica la realización de transacciones
financiaras como son: pagos de recaudos de arriendos a los propietarios de los
inmuebles, recaudos y pagos de la compra y venta de inmuebles, pagos de
4. servicios públicos y administraciones de los inmuebles propios o en custodia,
pago a los proveedores de servicios para el mantenimiento de los inmuebles,
pago de los costos administrativos y comerciales derivados del funcionamiento
de la empresa, entre otros. Este tipo de movimientos se realizan en diferentes
entidades financieras o en las cajas de cada uno de las sucursales de la
compañía.
Aunque dentro del área, existen procesos y controles, como la aplicación de
segregación de funciones para la realización de las actividades que hoy hace
que el proceso funcione, en la última revisión realizada por el área de auditoría
interna de la empresa encontró que, debido al aumento de las transacciones y
montos que está realizando la empresa los controles que se ejercen
actualmente no son suficientes y pueden existir riesgos en la perdida de dinero
o de información financiera clave que requiere mayor seguridad; por lo cual
ellos entregaron en el informe una recomendación para mejorar el proceso.
En el informe de auditoría entregado a la jefatura del área de Gestión de Pagos
y Tesorería, en la revisión del proceso de pagos y recaudos de dineros, se
registra un punto el cual se enfoca en la seguridad de las transacciones que
realiza la empresa de manera electrónica con las diferentes entidades
financiera con las que se tiene relación. En este punto se evalúa la cantidad de
transacciones que realiza Tesorería, los montos y los medios por los cuales los
ejecuta, encontrando que:
- Se realizan pagos utilizando las páginas de los bancos o por servicios
PSE.
- Se envían archivos planos a las entidades bancarias para el pago o
consignación automática de dineros a los clientes, proveedores y
empleados de la empresa.
- Se realizan trasferencias de dinero por medios electrónicos a cuentas de
clientes y agrupaciones de vivienda.
Se espera mitigar los riesgos hacia la información el cual se está presentando
en estos momentos en la empresa.
Reducir el riesgo al realizar transacciones, las cuales cesen sus operaciones.
¿Qué se busca?:
Mantener la confidencialidad de la información.
Asegurar la integridad y confiabilidad de los datos.
Asegurar la disponibilidad de los datos.
Asegurar el cumplimiento de las leyes de seguridad nacionales y de las
directivas y reglas de privacidad.
Para poder realizar la implementación de un método de encriptación a los
archivos que se intercambian con los bancos, se debe realizar la siguientes
actividades:
1. Verificación del estado actual de los sistema de la empresa y de los bancos.
1.1. Identificación del sistema que genera los archivos planos.
5. 1.2. Identificar los métodos de generación.
1.3. Identificar posibles formas de encriptación en el sistema actual.
1.4. Identificar los protocolos de encriptación utilizados por los diferentes
bancos con los que se intercambian archivos.
1.5. Identificar la estructura de los archivos.
2. Búsqueda y selección del proveedor del sistema de encriptación.
3. Definir el protocolo estándar que va a implementarse con todos los bancos.
4. Realizar la implementación de software y hardware necesarios.
6. Realización de prueba en ambientes de calidad, con verificación y
aprobación de todas las áreas involucradas en el proceso, incluyendo el aval
tanto de auditoría como de los bancos.
7. Certificación de las llaves con la entidad certificadora correspondiente.
8. Capacitación del nuevo proceso a los usuarios funcionales del área.
9. Comunicación y alienación de las fechas de salida en vivo, tanto al interior
de la empresa como con los bancos.
10. Migración o puesta en productivo de los protocolos de encriptación.
11. Seguimiento post implementación.
4. Conclusiones
Las herramientas tecnológicas cada día hacen que las tareas y procesos se
puedan hacer de una manera más ágil, pero así mismo se deben tomar las
medidas necesarias para que estas sean seguras, tanto para los prestadores
de servicios o vendedores, como para los usuarios.
Existen dos formas de generar claves cifradas, unas es la asimétrica y otra la
simétricas, siendo la asimétrica de mayor ventaja, debido a que permite
establecer comunicación sin haber acordado previamente un clave secreta.
Hay dos formas de generar comunicación web por http ó por https, la https
permite establecer comunicación en forma segura, a través de la cual se
solicita la clave publica del servidor, permitiendo establecer comunicación de
forma simétrica.
Con la firma electrónica se consiguen dos de las características de seguridad;
seguridad y autenticación.
6. Referencias
[1] Administración de empresas, “Riesgos y seguridad en Datos”,
http://cursoadministracion1.blogspot.com/2008/07/riesgos-y-seguridad-en-
datos.html
[2] Seguridad Informática...Criptografía, http://www.taringa.net/posts
/info/4030740/Seguridad-Informatica___Criptografia.html
[3] http://redici.org/podcast/137-edicion060
[4] www.iec.csic.es/gonzalo/descargas/AplicacionesCriptografiaEFS.pdf
[5] http://www.seguridadenlared.org/es/index25esp.html
[6] http://m.eltiempo.com/economia/empresas/bancolombia-responde-ante-los-
problemas-de-sus-servicios-en-linea/9112360/1