|
|
Monografias | E-commerce como un nuevo modelo de comercioE-commerce como un nuevo modelo de comercioResumen: E-commerce como un nuevo modelo de comercio. Seguridad y garantías del e-commerce. Empresa virtual. Logística. El impacto de la Internet en el mudo entero ha sido realmente arrollador, de una u otra forma todos hablan de Internet, recurren a ella y/o realizan negocios en línea (e-commerce / e-business). Siendo este último un importante punto de partida para el estruendoso desarrollo de un nuevo mercado y la evolución del concepto de la economía actual a un nuevo concepto "e-economía". índice Introducción
Metodología E-commerce
como un nuevo modelo de comercio Seguridad
y garantías del e-commerce. Empresa virtual Logística INTRODUCCIÓN El
impacto de la Internet en el mudo entero ha sido realmente arrollador, de una u
otra forma todos hablan de Internet, recurren a ella y/o realizan negocios en línea
(e-commerce / e-business). Siendo este último un importante punto de partida
para el estruendoso desarrollo de un nuevo mercado y la evolución del concepto
de la economía actual a un nuevo concepto "e-economía". Todo
esto nos permite especular con que el futuro de muchas de las empresas del
sector "real", indiscutiblemente está en aprovechar y saber proyectar
de una forma provechosa el potencial que le ofrece Internet. La creciente
demanda que existe actualmente de llevar negocios hacia la infraestructura del
"e-commerce", basados en el concepto de la "Empresa
Virtual"; si a esto se le suma el aumento en la inversión en tecnologías
de ventas y servicios al cliente. (CRM). Basados
en estos conceptos e integrando las llamadas "tecnologías de punta",
proponemos el desarrollo del proyecto "Virtual.com"; proyecto que no
aparece como la solución específica de un problema lógico, sino como una
nueva propuesta que se integra al desarrollo de nuevos conceptos como lo son el
de mercado y las relaciones comerciales entre cliente y vendedor. METODOLOGÍA Con
la finalidad de cubrir todas las posibles inquietudes generadas por la
presentación de este proyecto, fue necesario investigar a fondo sobre temas
como lo son: el e-commerce, e-business, La empresa Virtual,
seguridad en Internet, etc. En fuentes electrónicas de Internet,
así como en la base de datos de la biblioteca electrónica del Instituto Tecnológico
y de estudios superiores de Monterrey. De
las cuales se logró extraer diversos artículos relacionados con el tema, lo
cual nos dio bases para realizar este proyecto. Este
nuevo modelo de hacer comercio ya empieza a palparse en ejemplos como el que
proporciona la industria de las computadoras, donde los fabricantes como DELL®
o IBM® pueden planificar su producción basándose en las
diferencias reales manifestadas directamente en las preferencias reales
manifestadas directamente por los consumidores vía Internet. A su vez, los
proveedores que abastecen las materias primas, pueden planear sus entregas basándose
en los planes de producción de los fabricantes, obtenidos también en tiempo
real vía Internet. Esto
demuestra que estos negocios tienden a operar prácticamente sin inventarios y
los intermediarios cada vez son menos requeridos, lo que obliga a crear formas
novedosas de añadir valor a los servicios ofrecidos. Ante
los últimos años, la economía mundial se ha desarrollado más allá de las
expectativas, y la dirección del sector privado de forma eficaz juega un papel
importante en dicho proceso de desarrollo. Muchos
observadores creen que los adelantos de la tecnología de la información,
manejado por el crecimiento del Internet, ha contribuido a crear una economía rápida
y confiable. Algunos incluso se atreven a afirmar que estos adelantos crearon un
"boom" largo que tomará a la economía a las nuevas alturas durante
los próximos años. Pero
también existen quienes se encuentran escépticos sobre la contribución del
comercio electrónico a la economía y a la productividad global. El
reciente crecimiento rápido del Internet es en parte atribuible a su fuerza
como un medio de comunicación, educación y función, y más recientemente,
como una herramienta para el comercio electrónico. Los negocios virtuales en
cada sector de la economía están empezando a usar el Internet para cortar el
costo de comprar, el manejo de las relaciones del proveedor, las logísticas
aerodinámicas y el inventario, producción del plan, y alcance de los nuevos y
ya existentes clientes de una forma más eficaz. 1.1 "INTERNET COMO BASE FUNDAMENTAL PARA EL DESARROLLO DE UN NUEVO
CONCEPTO DEL COMERCIO" Todo
parece indicar que seremos testigos de una batalla épica entre los comerciantes
tradicionales y aquellos que nos ofrecen sus mercancías con un simple clic, de
la cual el generador no será nadie más que el consumidor; a medida que se
intensifica la competencia, bajan los precios y mejora la calidad del servicio. Por
que el Internet es nuevo y sus usos se están desarrollando muy rápidamente,
las estadísticas económicas fiables son muy difíciles de encontrar. La
investigación extensa se necesita. En
este informe se utilizan ejemplos de compañías, que permiten ilustrar el paso
rápido a que el comercio de Internet está desplegándose. Ejemplos que
muestran el crecimiento del Internet y por consiguiente el crecimiento del
comercio electrónico en estos últimos años es numeroso. Al
comprender este potencial, sin embargo, muestran la principal preocupación de
los sectores privados y estatales, los cuales deben trabajar por crear un armazón
legal predecible, lo cual permita facilitar el campo de acción del comercio
electrónico; para crear medios no burocráticos que aseguren que el Internet es
un medio seguro; y para crear políticas de recursos humanos que doten a los
estudiantes y obreros de las habilidades necesarias para los trabajos en la
nueva economía digital (e-economía). 1.1.1 El e-commerce Internet
es una poderosa herramienta que puede darnos la ventaja competitiva necesaria
para enfrentar los retos tecnológicos de la época. Cualquier empresa puede
incursionar efectivamente en Internet; tanto si se desarrolla en el ámbito
industrial, comercial como en el área de servicios. Es de suma importancia
tener claros cuáles son los beneficios que pueden derivar de esta forma de
trabajo y su importancia dentro de las organizaciones. El
E-commerce (Comercio Electrónico) o lo que es lo mismo: "hacer negocios
electrónicamente" permite a las empresas adquirir una fuerte posición
estratégica dentro del mercado. En la actualidad, los hombres y mujeres de
negocios ven al Comercio Electrónico como una manera de modernizar sus
operaciones, alcanzar nuevos mercados y servir mejor a sus clientes. Nuevas
posibilidades A través del comercio Electrónico es posible: ·
Acelerar las operaciones del negocio. ·
Proveer nuevas maneras de para encontrar y servir a los clientes. ·
Ayudar a diseñar una estrategia de relaciones con sus clientes y proveedores,
especialmente a nivel internacional. Mucha
gente piensa que el comercio electrónico es todavía una utopía. Sin embargo,
si observamos el volumen de negocios que efectúan países como Estados Unidos o
Canadá, la perspectiva cambia: es posible pensar al comercio electrónico como
una oportunidad de negocio que puede llegar a representar a todos los sectores y
países, incluida la Argentina. En
nuestro país el número de operaciones comerciales o financieras que pueden
realizarse va aumentando progresivamente día a día. Es alentador observar como
las grandes tiendas de electrodomésticos y algunos bancos ya ofrecen la
posibilidad de comprar o realizar transacciones a través de Internet. El
e-commerce no solo sirve para comprar un libro, encargar flores o hacer la
compra del supermercado; te permite también realizar operaciones bursátiles,
comprar suministros para las empresas o formalizar operaciones de comercio
internacional. El ámbito de aplicación es infinito y en la actualidad se
dispone de programas que automatizan la operación y garantizan el pago seguro
de la misma; tanto si se trata de microtransacciones para pagar un juego o un CD
musical como de operaciones financieras de envergadura. En
síntesis, el Comercio Electrónico puede mejorar visiblemente la manera de
hacer negocios y abre el camino para entablar relaciones comerciales más
provechosas y eficientes. 1.1.2 El Comercio A Través De Internet Entre Los Negocios El
comercio de Internet está creciendo más rápido entre los negocios. Se usa
para la coordinación entre los funcionamientos adquisitivos de una compañía y
sus proveedores; los proyectistas de la logística en una compañía y las compañías
de transporte que el almacén y mueve sus productos; las organizaciones de las
ventas y los comerciantes al por mayor o minoristas que venden sus productos; y
el cliente repara y funcionamientos de mantenimiento y los último clientes de
la compañía. El
uso comercial de computadoras rápidamente el cobertor como las compañías en
una variedad de industrias los usó guardar los mayores de contabilidad,
administre la nómina, cree la dirección informa, y producción del horario. En
los años setenta, los negocios extendieron su poder de la informática más allá
de las paredes de la compañía, mientras enviando y recibiendo órdenes de la
compra, facturas y notificaciones del envío electrónicamente vía EDI (los
Datos Electrónicos Intercambian). EDI es una norma por compilar y transmitir la
información entre las computadoras, a menudo encima de redes de comunicaciones
privadas llamadas las redes valor-agregadas (los Carros de mudanzas). Los años
ochenta también trajo la introducción de plan computadora-ayudado (el SINVERGÜENZA),
la ingeniería computadora-ayudada (CAE) y computadora-ayudó la fabricación
(la LEVA) sistemas que les permitieron a ingenieros, diseñadores y técnicos
acceder y trabajar en las especificaciones del plan, mientras diseñando dibujos
y la documentación técnica vía las redes de comunicaciones corporativas
interiores. El
costo de instalación y mantenimiento de Carros de mudanzas publicó la
comunicación electrónica del alcance de muchos negocios pequeños y medianos.
Por la mayor parte, estos negocios confiaron en el facsímil y telefonean para
sus comunicaciones comerciales. Compañías aun más grandes que usaron a menudo
EDI no comprendieron las economías potenciales llenas porque muchos de sus
compañeros comerciales no lo usaron. El
Internet hace el comercio electrónico económico a incluso la oficina de la
casa más pequeña. Las compañías de todos los tamaños pueden comunicar ahora
entre sí electrónicamente, a través del Internet público, redes para el
compañía-uso sólo (el intranets) o para el uso por una compañía y sus compañeros
comerciales (el extranets), y las redes valor agregadas privadas. El
crecimiento de comercio electrónico negocio-a-comercial es estado manejando por
los más bajo costos de la compra, las reducciones en los inventarios, que el más
bajo ciclo cronometra, el servicio del cliente más eficaz y eficaz, más bajo
ventas y costos comercializando y nuevas oportunidades de las ventas. 1.1.3 Generalización Del Comercio A Través De Internet En Los Usos
Sociales En
opinión, la curva de crecimiento de las expectativas de los negocios en
Internet será a partir de ahora decreciente, debido al conocimiento que ya se
tiene sobre esta herramienta. Para
el responsable de Gartner, hasta el momento la expansión del comercio electrónico
y el 'e-business' es casi exponencial debido a la aparición de tecnologías que
han permitido el nacimiento del comercio en Internet. Sin embargo, Solía apuntó
que una vez superada esta segunda fase de decrecimiento de las expectativas y
asentamiento del comercio electrónico, se alcanzará una fase de crecimiento
sostenido y progresivo que culminará en un plazo de seis a ocho años con la
generalización en el uso de Internet como vehículo de comercio. 1.2 SER O NO SER '.COM' El
ejecutivo de Gartner Group Iberia destacó lo que ya se ha venido escuchando
abundantemente en los últimos tiempos, que aquellas empresas que en breve plazo
--apuntó el 2005-- no estén presentes en la Red simplemente "no serán".
Solía explicó que esto no significará su desaparición, sino que perderán la
oportunidad de hallar un lugar destacado en el comercio electrónico. "Estamos
ante una revolución copernicana", en el sentido de que los hábitos de
comercio tradicionales han cambiado y que su marcha atrás es imposible, ya que
el comercio electrónico se observa como "la próxima máquina de
crecimiento mundial", señaló. El
mundo de Internet está "sobrecargado de emociones e infraevaluada en su
realidad", es decir, existe una gran expectación ante lo que las nuevas
tecnologías de la información pueden ofrecer, señaló Solía. Para el
directivo, esto podría actuar en contra del propio comercio electrónico, ya
que recordó que el negocio en la Red "no es ni fácil, ni barato, pero no
es opcional". 1.3 ORACLE COMO UNA i-BUILDER Oracle
(www.oracle.com) ofrece una plataforma integrada de productos que van desde la
publicación de la información, personalización, motor de búsqueda, transacción
e integración con sistemas ERP y proveedores para el manejo de inventario y
distribución. ¿Uno de sus clientes estrellas? Nada más y nada menos que
Amazoman.Com La
solución que propone Oracle es el Oracle 8i, una base de datos que maneja altos
volúmenes de información, facilita el mercadeo omane to one, permite el
desarrollo y puesta en marcha de aplicaciones y habilita los negocios en
Internet. Está basado en Java por ser el lenguaje más robusto, incluye
herramientas de administración como el Enterprise Manager, trabaja con el
protocolo SSL de seguridad y soporta distintos formatos de información: video,
texto, multimedia y audio. Como señala José Antonio Madriz, consultor tecnológico
de Oracle: "El objetivo de Oracle es ofrecer una plataforma completa para
el desarrollo de comercio electrónico". Una
de las ventajas del Oracle 8i es el Internet File System que facilita el manejo
de la información y crea un nuevo concepto de archivos al mantener e integrar
los directorios existentes del usuario. Coman esto se concemantra toda la data
en una sola base de datos, y el respaldo y la administración se hacen más fáciles. Adicionalmente,
incluye el Application Server que permite el desarrollo de aplicaciones y la
personalización del site por parte de los usuarios. igualmente, el Internet
Commerce Server que facilita las ventas business to business y busimaness to
consumer, creación de tiendas, sistemas de integración de pago a través de
CyberCash y protocolos de seguridad. Se
estima que en seis meses está completa la instalación de la plataforma de
Oracle. El costo dependerá de las necesidades del site. Sin embargo, debemos
ser consientes que inicialmente se necesita una alta inversión. 1.4 LAS
BARRERAS PARA EL COMERCIO ELECTRÓNICO A
pesar de las enormes posibilidades ofrecidas por el comercio electrónico, este
está teniendo un arranque desigual y, en muchos ámbitos, más lento de lo
esperado, lo que ha hecho que este fenómeno haya sido estudiado bajo muy
diferentes puntos de vista. No obstante es muy frecuente encontrar resultados
similares. La
seguridad aparece como principal barrera, si bien en ella influye más la falta
de garantías que aspectos concretos de ella, como el fraude o la delincuencia,
para los que si existen instrumentos de protección. El
comercio electrónico exige la creación de un marco legal estable mediante la
actualización de aspectos múltiples de la legislación y la regulación, como
lo es necesario en las áreas de la seguridad y legalidad del propio comercio,
la fiscalidad, los medios de pagos remotos y la propiedad intelectual y el
nombre de los dominios. La
complejidad tecnológica es un factor que actúa tanto a la hora de iniciarse
como tras la implantación del comercio electrónico en la empresa. Este aspecto
tiene una doble repercusión; por un lado el de los costes incurridos en la
inversiones iniciales y en equipamiento y, por otro, el perfil de formación
generalmente escaso o inexistente las empresas. Las
comunicaciones están actuando también como una barrera de entrada, dado que en
la actualidad tienen un costo que es considerado elevado por las PYMES y, además,
tienen unas prestaciones y calidad del servicio que deben mejorar. La
siguiente figura muestra la percepción de los empresarios acerca de los
factores inhibidores señalados y de su evolución, y donde aparece como factor
más relevante el de la seguridad. 1.4.1 Incentivos para el comercio electrónico 1.4.1.1 Las ventajas: El
comercio electrónico con respecto al comercio tradicional, ofrece a las
empresas notables ventajas relacionadas con el propio comercio y las mercancías: 1.4.1.2 Las motivaciones: Además
de las ventajas antes mencionadas del comercio electrónico, el comerciante
puede verse presionado para iniciarse en el comercio electrónico por otras
causas, como: Estos
tres incentivos actúa generalmente de forma secuencial pero su aparición puede
variar según los distintos campos del comercio. La Tabla A expone algunos de
los campos según su momento de adopción del comercio electrónico. CATEGORIAS ADOPCION TEMPRANA ADOPCION TARDIA Comercio entre empresas Bienes
duraderos Mayorismo Servicios (salud,
asesorías, consultores) Transporte Transacciones Comercio de consumidores Viajes Informática Libros Vivienda Alimentación
y bebidas Tabla A. Algunos
productos son más indicados para su distribución y venta a través de
Internet. En general, en el mercado orientado al consumidor, ha registrado mayor
éxito: En
todo caso el desarrollo exitoso del comercio electrónico esta estrechamente
ligado con el desarrollo de Internet, cuya implantación estará estabilizada
totalmente entre los años 2002 a 2005. 1.5 REPERCUSIONES SOBRE LOS MERCADOS ·
Globalización.
El comerciante se
lanza a la arena del comercio electrónico disfrutará de una presencia global
en el mercado. Su campo de acción no se verá limitado por distancias ni por área
de actividad. ·
Formación de
precios. El mercado
por Internet permite a los consumidores explorar mejor el mercado y sus precios,
lo que supone en un principio una evolución a una competencia más perfecta. De
hecho algunos de los intermediarios se dedican a una exploración de precios de
un determinado producto. ·
Reducción de
costos. el comercio
electrónico supone un acortamiento en el ciclo de compra y sustitución o
eliminación de sus tradicionales intermediarios, lo que permite un considerable
reducción en los costos, tal como lo muestra en la Tabla B. Billetes de avión Servicios bancarios Pagaos de facturas Distribución de software Procedimiento tradicional 8 1.08 2.22
a 2.32 15 Por teléfono 0.54 5 Por Internet 0.13 0.65
a 1.10 0.2
a 0.5 71
a 77 Ahorros % (tradicional / Internet) 87 89 97
a 99 Tabla B. 1.7 LAS CLAVES DEL DESARROLLO 1.7.1 Factores de éxito: El
éxito empresarial en el comercio electrónico tiene como bases principales: El
desarrollo del comercio electrónico está dependiente de factores diversos,
sociales y económicos, como el desarrollo económico de la sociedad, el propio
desarrollo de Internet, la formación de nuevos hábitos de compra y la
eliminación de las barreras para el desarrollo del comercio electrónico. Finalmente,
las empresas han de adecuar su estructura y modos de operación a las
necesidades impuestas por el comercio electrónico. Entre ellas debemos
mencionar la adquisición de nuevas tecnologías, las políticas de empleo, los
recursos productivos y la prestación de servicios. 1.7.2 Algunas cautelas: La actividad comercial por Internet ofrece casos de grandes
éxitos pero también fracasos rotundos, como el de Market-Place,
subsidiaria del gigante de las comunicaciones MCI, que tuvo que cerrar
sus puertas tras cuantiosas perdidas. Y es que el comercio electrónico suele
exigir a la empresa un compromiso fuerte con la tecnología y las inversiones
requeridas. Algunos
negocios han fracasado por salir al mercado antes de tiempo o no disponer de los
recursos necesarios. Por ello, hay muchos expertos que creen que el comercio
electrónico es un mercado en proceso de maduración ante él cual se debe
mantener las debidas cautelas. 1.8 NUEVAS REGLAS DEL COMERCIO ELECTRÓNICO El
comercio electrónico está propiciando la aparición de nuevas reglas de
comportamiento que suponen un gran cambio de actitudes y estrategias con
respecto a las tradicionales, algo que se hace muy evidente cuando se trata de
los nuevos comerciantes y las nuevas mercancías, como aplicaciones informáticas
o servicios de información. Estos
nuevos comportamientos hacen que la presencia de una empresa en Internet no siga
siempre criterios de pura rentabilidad. En la figura 1.1 se puede observar las
expectativas empresariales en Estados Unidos, donde se puede ver que por lo
general se esperan beneficios a largo plazo. 1.8.1 Principales modelos de e-commerce El
modelo inicial y más sencillo es el de la Tienda Virtual, que puede ser
constituido por el propio comerciante, y que consiste, en su forma más simple,
en hacer presencia en la Web a través de paginas web mostrando la gama de
productos de la empresa. Este modelo se simplifica aún más cuando el
comerciante arrienda un dominio en cualquier servidor de Internet, por que no
necesita desplegar recursos propios. La Galería Comercial (Mall) está constituida por un conjunto de tiendas que aparecen en
un dominio común y bajo la cobertura de un nombre comercialmente conocido. Está
formula permite a las tiendas compartir gastos de explotación y obtener otras
economías de escala al delegar en el gestor de la galería algunas de las
tareas de explotación. Según
van integrando tareas, pueden llegar a formarse Mercados gestionados por
terceros, una evolución del modelo anterior en donde la galería toma
mayores responsabilidades, como promoción, pagos, creación de catálogos e
interfaces con el usuario que sean más atractivas, etc. Este es un campo
adecuado para las iniciativas de los proveedores de servicios de Internet. Una
variante más evolucionada es la formada por los Suministradores de la cadena
de valor, donde se integran otras tareas no meramente electrónicas, como la
distribución y la logística. A esta modalidad se están integrando las grandes
empresas de mensajería como Federal Express o DHL. Los llamados Informediarios(intermediarios
de la información como portales, buscadores, canales, agentes, etc.), han de
jugar un papel cada vez más importante, por que ellos van hacer lo verdaderos
organizadores de la información en Internet y por lo tanto del comercio electrónico. Las Terceras partes de Confianza, mediadores en temas relacionados con la seguridad y las
garantías en el comercio electrónico, ya han comenzado su actividad en
diversos países, y registraran un impulso aun mayor una vez se vayan adaptando
a los nuevos marcos legislativos y adquiriendo un mayor peso legal estas
organizaciones. Otros mediadores especializados están surgiendo en los campos
de las Licitaciones y Subastas, que pueden ser utilizados tanto por las
empresas como por los consumidores como por la organizaciones de las
administraciones del estado. Las Comunidades Virtuales, han conseguido grandes éxitos al reunir grupos de
productores y de consumidores en un ámbito común. Es un claro ejemplo de este
modelo www.amazon.com, una librería
virtual que vende en los cinco continentes a precios competitivos, basados en un
stock ceros y en la automatización y optimización de los diferentes procesos
de consulta, venta y, por supuesto, distribución. Para
venta de servicios especializados se han creado las llamadas Plataformas de
Colaboración, en donde colectivos unidos por problemas e intereses comunes
se prestan mutuamente servicios de asesoramiento o difusión de técnicas, y
donde los servicios son pagados en forma de contra prestación de servicios. En
la figura 1.2 podemos observar lo Modelos de Relaciones Comerciales en Internet. 1.8.2 Categorías del e-commerce El
comercio electrónico tiene como principales actores comerciante y empresas,
consumidores y administraciones públicas, lo que da lugar a las siguientes
categorías: En
la Tabla C podrán observar los porcentajes estimados que manejan estas categorías. Empresa – Consumidor Empresa - Empresa N° de operaciones 80% 20% Volumen de negocios 20% 80% Tabla C. El
comercio entre la empresa y el consumidor nace, en términos practico, con
Internet, y es en la actualidad el que recibe mayor flujo de soluciones tecnológicas,
a pesar de su aún reducido volumen como se puede observar en la Tabla C.
A diferencia de este comercio, el comercio entre empresas tiene ya más de dos décadas,
pero durante un tiempo solo estuvo al alcance de los grandes sectores
industriales y financieros. Por
otra parte, los consumidores del e-commerce ya han expresado con claridad los
factores considerados más incentivadotes del comercio, como lo son rapidez y
costos competitivos. La figura 1.3 muestra los resultados de una encuesta sobre
los aspectos más valorados por los consumidores. 1.9 EL MARKETING EN LA ERA DE INTERNET Desde
el punto de vista del consumidor, el márketing en Internet presenta dos grandes
novedades: un mayor grado de libertad de elección y la eliminación por
completo de las barreras de las distancias. La
tecnología Internet también beneficia a los comerciantes, por que les permite
unos procedimientos de comercialización con características únicas, de las
que no disfrutaban los medios alternativos: 1.9.1 Nuevas relaciones Internet
permite el acercamiento de la empresa al consumidor, con lo que trata de
establecer nuevas relaciones. Las líneas generales de necesidad que han seguido
los comercios y negocios en Internet que han reportado mayores éxitos son: 1.9.2 Los instrumentos del márketing 1.9.2.1 Componentes No
se requieren instrumentos especiales, sino la utilización de los dispositivos
genéricos de Internet para las tareas de márketing, y que es lo que permite
una forma de hacer márketing a costos reducidos. ·
Paginas Web,
constituyen la herramienta principal del márketing. En ellas se pone la
información empresarial, y supone el primer contacto de los potenciales
clientes con la empresa o comercio. Por ello se requiere que estas páginas estén
debidamente diseñadas de forma que transmitan la información necesaria, sin
que estas estén recargadas de un contenido excesivo, lo que haría la descarga
de la página lenta y fastidiosa. ·
Las paginas web
contiene en sí misma nuevas herramientas. Banners (banderolas), enlaces
y cookies; los cuales son dispositivos que facilitan la navegación por
Internet, conducen al usuario hacia las páginas del comercio y permiten al
comerciante obtener información del cliente. ·
FTP (Protocolo
de Transferencia de Archivos), esta herramienta permite acceder a infraestructuras
informáticas remotas y obtener de ellas la información necesaria. Son
particularmente útiles en los sitios que ofrecen acceso a personas anónimas,
usuarios que no estén obligados a registrarse o identificarse, así el
comerciante podrá facilitar información de los productos y / o servicios que
este ofreciendo al posible cliente. ·
Correo Electrónico,
el correo electrónico no solo sirve para optimizar los procedimientos de
comunicación, ya que ofrece mejores prestaciones y reduce los costos de correo.
, Si no que posibilita lo que ha venido a llamarse márketing de base de
datos, permitiendo él envió de información de una forma selectiva de
acuerdo al perfil del cliente. Así, por ejemplo, amazon.com, mantiene en
su nodo tablones de noticias con novedades editoriales, realiza criticas de
libros, etc., pero además también posibilita a los clientes intercambiar
puntos de vistas sobre los libros. 1.9.3 Modelos y formas del márketing en internet Son
muchos los modelos de márketing utilizados para promocionar productos y
servicios a través de Internet, pero los más comunes son: Pero
el modelo y la forma que realmente nos interesa es el modelo interactivo y
los "portales", este modelo conocido como interactivo, o según su
termino en ingles pull, tiene grandes ventajas, como la de mantener al
usuario con una actitud receptiva de la información que el comerciante desea
entregarle. Según
este dispositivo el comerciante esta en la libertad de atraer a nuevos posibles
clientes utilizando diversos métodos y / o estrategias. Pero, quizás la más
utilizada para llegar a las páginas de un comercio electrónico es la búsqueda
con la ayuda de organizaciones de mediación, como son los portales
especializados en la búsqueda de temas específicos (buscadores) o los nodos de
la red que en muchas ocasiones constituyen una puerta de acceso para el usuario. Los
directorios o buscadores mantienen una información estructurada, que permite la
búsqueda sistemática de la información deseada. Los buscadores son
dispositivos que al suminístrales una palabra o clave de búsqueda proporcionan
direcciones de páginas en Internet relacionadas con el tema buscado. Son
un claro ejemplo de este tipo de portal, Yahoo, Altyavista o Lycos, que por lo
general están asociados a grandes empresas informáticas y comunicaciones. Vale
la pena mencionar un poco a cerca de los agentes y brokers, que son la
nueva tecnología que sé esta empezando a imponer como una alternativa al
modelo pull. los
agentes y brokers, son un colectivo de mediadores independiente de vendedores y
empresas, especializados por mercados y muy vinculados con sus clientes. Estos
pueden realizar tareas variadísimas, tantas como pueda necesitar el mercado,
desde la búsqueda de artículos por precios hasta analizadores de calidad. En
la Tabla D, se muestra una gama de posibles servicios de los agentes y brokers. Funciones de los Agentes y Brokers Cambiar
la palabra marcada Escriba la nueva palabra en Cambiar Cambiar
la palabra marcada Haga clic en la sugerencia deseada Servicios
a productores y usuarios Búsqueda
de información Selección
de contenidos en la red Búsqueda
de productos Búsqueda
de costos Información
sobre los productos Evaluación
de usuarios Servicios
postventas Tabla D. Funciones de los Agentes y Brokers El
márketing por Internet aún utilizando herramientas tan avanzadas, también
necesita de practicas del márketing convencional, el comerciante debe recurrir
a acciones tales come la creación de imagen de marca, ventas promociónales,
relaciones públicas, prospección de mercado, etc., además no debe olvidar los
medios de difusión tradicionales como lo son: el periódico, la radio, etc. 2.1 ¿ QUE HAY QUE PROTEGER EN INTERNET? La
seguridad de be ampara por igual equipos y contenidos, que puedan ser puestos en
peligro tanto por acciones mal intencionadas como por fallo de los propios
equipos. Es
por esto que la seguridad en el comercio electrónico debe proteger específicamente
los siguientes aspectos: 2.2 RECURSOS TECNOLÓGICOS DE PROTECCIÓN ·
La protección
física de lo equipos, son las comunes a todos los equipos informáticos, y los
medios son los sistemas de vigilancia, control de acceso, prevención de
accidentes, etc. La
gravedad de los virus es variable, desde los que solo viven en el ordenador de
forma parásita hasta los que pueden alterar y destruir toda la información
almacenada en él. Pero tal vez la mayor amenaza la representan los llamados
caballos de Troya, que son programas piratas que le permiten al troyano (pirata
informatico), recoger la información que este desee como lo son: códigos de
acceso, números de tarjetas de crédito, correos electrónicos, etc., antes de
que estos datos puedan ser protegidos. ·
Protección de
los entornos, se
basa en el principio de que es posible delimitar áreas de Internet dentro de
las cuales el entorno es seguro, los accesos están controlados y las personas
son fiables. Para ello se utilizan soluciones que reciben los nombres de Extranet
e Intranet, en las cuales se dispone de unos recursos – routers y
firewall -, que realizan tareas de vigilancia y control de acceso en bloque y
donde cuyas tareas de protección se basan en el perfil y privilegios asignados
al usuario. El objetivo de este tipo de solución es proporcionar un espacio de
relación seguro, facilitando la comunicación con acceso a la información
empresarial deseada de forma selectiva y controlada. Esto lo podemos ver
resumido en la Tabla E. Internet Intranet Extranet Acceso Público Privado Semi-privado Usuario Usuarios de Internet Usuarios de empresas Usuarios autorizados de empresas colaboradoras Información Fragmentada Propiedad de la empresa Compartida con empresas colaboradoras Tabla E. Internet – Intranet – Extranet. También
existen las llamadas Redes Privadas Virtuales, que pueden ser implantadas
mediante multitud de tecnologías de comunicaciones, pero las máximas ventajas
funcionales y de costos se obtienen utilizando Internet. Las
Redes Privadas Virtuales suponen en la mayoría de los casos la integración de
tecnologías de Intranet y Extranet con la protección de los mensajes mediante
técnicas criptográficas. Así routers y firewall protegen el acceso a la red
privada al tiempo que las técnicas criptográficas construyen un túnel que
lleve comunicaciones cifradas a través de Internet y a la cual solo puede tener
acceso personas autorizadas. ·
Protección de
los mensajes y comunicaciones, esta se hace basándose en una serie de técnicas que se han
venido desarrollando durante los últimos tiempos, técnicas como: 2.2.1 La Encriptación: La criptografía está antigua como la escritura. Desde que
el homo sapiens inició su recorrido sobre este planeta, ha necesitado
comunicarse con sus semejantes, pero en ocasiones no quiere que otros se
enteren. Las razones son evidentes, ya que a ninguno le gustaría que el
enemigo conociera su estrategia si lograse interceptar un mensaje. Se
dice que las primeras civilizaciones que usaron la criptografía fueron la
Egipcia, la Mesopotámica, la India y la China. Los espartanos, 400 años antes
de Cristo, utilizaban un sistema secreto de escritura, el cual consistía en un
cilindro al cual se colocaba un papiro en forma de espiral. Se escribía
entonces el texto en cada una de las vueltas del papiro, pero de arriba hacia
abajo. Una vez desenrollado, sólo se podía leer una serie de letras
aparentemente inconexas. Para descifrar el mensaje era necesario colocar el
papiro exactamente en la misma posición en la que había sido escrito. Antiguos
textos judíos fueron encriptados siguiendo el método de sustituir la primera
letra del alfabeto por la última y así sucesivamente. En la Biblia (Jeremías
25:26) el nombre de Babilonia aparece encriptado como "Sheshech". Pero
a quien se atribuye el primer método de encriptado con su debida documentación
es al general romano Julio César, quien creó un sistema simple de sustitución
de letras, que consistía en escribir el documento codificado con la tercera
letra que siguiera a la que realmente correspondía. La A era sustituida por la
D, la B por la E y así sucesivamente. En la Edad Media el uso de la escritura
codificada se incrementó. Un
libro de astronomía escrito en 1390 y atribuido a Geoffrey Chaucer contiene
trozos cifrados. En
1470, León Battista Alberti publica "Tratado de cifras" en
donde describe una cifra capaz de encriptar un pequeño código. No
obstante se considera al abate Johannes Trithemius es el padre de la criptografía
moderna. Este religioso escribió en 1530 "Poligrafía", el
primer libro impreso sobre el tema. Trithemius introdujo el concepto de tabla
ajustada, en el cual el alfabeto normal es permutado para codificar los
mensajes. Son legendarios los mapas de tesoro escondidos durante los siglos XVII
y XVIIII. En
ellos los piratas supuestamente encriptaban la localización de enormes tesoros,
basándose principalmente en métodos de sustitución de alfabeto. El
principal uso de la criptografía en la era moderna ha sido militar. En 1917,
por ejemplo, el servicio de Inteligencia Naval de Inglaterra entregó a los
Estados Unidos un mensaje que había sido enviado al embajador alemán en Ciudad
de México por el gobierno germano. En el mismo se autorizaba
al diplomático a negociar un acuerdo con México para entrar a favor de
Alemania en la Primera Guerra Mundial. A cambio, los mexicanos recibirían los
territorios de Nuevo México, Arizona y Texas, en el caso de
que resultasen vencedores. El
texto -conocido como el telegrama Zimmermann impulsó a los
norteamericanos a participar en esa guerra contra Alemania. Los
códigos de la máquina Enigma, usada por los mismos alemanes durante la Segunda
Guerra, fueron rotos por los analistas norteamericanos, al igual que los códigos
usados por los japoneses. Y
ahora que la informática se ha apoderado de los hogares, como no, se han de
introducir sistemas que sean seguros para realizar operaciones. La intimidad es
un derecho constitucional del individuo, que con los medios de comunicación
tradicionales, como el correo postal, correo certificado, los apartados de
correo, etc., están más que garantizados. En
cambio, con el uso generalizado de los sistemas de comunicación electrónicos,
la intimidad y el anonimato de las personas resultan crecientemente amenazadas,
de hecho no hay seguridad alguna en caso de no utilizar algún tipo de medio
para preservar esta intimidad de agentes externos. Cada
vez que alguien utiliza el correo electrónico, navega por la Web, interviene en
foros de conversación, participa en los grupos de noticias de Usenet, o hace
uso de un servidor de FTP, está revelando datos sensibles acerca de su
personalidad, economía, gustos, hábitos sociales, residencia, etc., que pueden
ser maliciosamente recolectados y utilizados por terceros, en perjuicio del
usuario inocente. La
mayoría de los usuarios no es consciente de la cantidad de información privada
que, de forma inadvertida e involuntaria, está revelando a terceros, al hacer
uso de Internet. Cada
vez que se visita un sitio Web, se suministra de forma rutinaria una información
que puede ser archivada por el administrador del sitio. A éste, no le resulta
difícil averiguar la dirección de Internet de la máquina desde la que se está
operando, la dirección de correo electrónico del usuario, qué páginas lee y
cuáles no, qué figuras mira, cuántas páginas ha visitado, cuál fue el sitio
recientemente visitado y también qué sistema operativo y qué navegador
usa. Toda
esta clase de información que el usuario va dejando por Internet puede ser
usado por otros usuarios maliciosamente, como enviando correo basura (junk-mail
o spam), que puede atiborrar nuestro buzón de correo, empleado por marcas
comerciales sin escrúpulos o por aficionados para promocionar
indiscriminadamente sus productos por toda la red. La
suplantación del usuario, para enviar mensajes ofensivosen su nombre a
terceros, que le pueden poner en una situación incómoda; el marketing
personalizado, que explota información que los usuarios van revelando
inadvertidamente a medida que navega por la Red sobre sus gustos y preferencias,
etc. Quizás
lo que los usuarios si toman mas en cuenta son los ataques a la
confidencialidad, autenticidad e integridad del correo electrónico. Hoy día
resulta sencillo hacer frente a estos ataques mediante los protocolos de
comunicaciones basados en procedimientos criptográficos. Otro
tipo de inseguridad que actualmente ha saltado a las noticias, es el surgido por
la captación de números de tarjetas bancarias que usuarios sin escrúpulos
utilizan como si fueran ellos los poseedores de dichas tarjetas. Esto lo
realizan porque en los sitios donde se piden el número de esta tarjeta no es un
lugar seguro, y cualquier persona puede acceder a esos datos. Rastro del dinero electrónico. Sin
duda, una de las formas que tiene un individuo de preservar su intimidad en el
comercio tradicional, es comprar los bienes o servicios que desee con dinero en
efectivo. Esta
forma de pago, evita que el vendedor necesite, en modo alguno, conocer la
identidad del comprador. Sin embargo, en las compras a través de Internet,
normalmente debemos suministrar nuestros datos personales (nombre, dirección,
etc.) junto con un número de tarjeta de crédito. Al
suministrar esta información estamos expuestos a que se vincule nuestra
identidad con el tipo de bienes o servicios que adquirimos. Esta información
puede ser alquilada o vendida por el proveedor a otras compañías que se
dediquen, por ejemplo, a la publicidad directa. Sin embargo, existen sistemas
que permiten realizar compras a través de Internet o de cualquier otra red de
comunicaciones de forma anónima, tal y como funciona el dinero de papel en el
pago al contado. Tales sistemas se engloban bajo el nombre de "dinero o
monedero electrónico" (digital cash/electronic wallet). Recomendación: En
la medida en que lo estime conveniente, utilice sistemas de dinero electrónico
que preserven el anonimato de sus compras en Internet. Inseguridad en las transacciones electrónicas. Otra
de las preocupaciones del usuario de Internet cuando realiza transacciones
comerciales no anónimas, es asegurarse de que los datos que suministra en la
transacción, por ejemplo, su nombre, dirección, número de tarjeta de crédito,
etc., no son capturados en la transmisión por alguien distinto del proveedor
con el que quiere realizar la transacción, y que posteriormente, pudiera
suplantar su identidad. Por otro lado, el proveedor o vendedor debe asegurarse de que
quien efectúa el pedido o la orden de compra es verdaderamente quien dice ser,
ya sea el consumidor final o un intermediario. Las características que definen a un sistema de
transacciones seguras son: Recomendación: No
realice transacciones comerciales electrónicas a través de proveedores con
sistemas "inseguros" o no fiables. Su
navegador es capaz de reconocer cuándo se conecta a un servidor que admite
transacciones seguras. Consulte el manual de su navegador para averiguar cómo
informa de la conexión a un servidor Web seguro. Envío de publicidad no solicitada a través del correo electrónico. Esta
forma de publicidad requiere, lógicamente, el conocimiento de la dirección de
correo electrónico del receptor del mensaje. Adicionalmente,
una dirección de correo electrónico puede tener asociada información de carácter
personal, tal como la organización donde trabaja o a la que pertenece una
persona, lo que puede ser de gran interés para una empresa que se dedique a la
publicidad directa. Las
formas más habituales de obtener direcciones de correo sin el conocimiento del
usuario son: Listas
de distribución y grupos de news Captura
de direcciones en directorios de correo electrónico. Venta,
alquiler o intercambio de direcciones de correo por parte de los proveedores de
acceso. Entrega
de la dirección de correo, por parte de los programas navegadores, al conectar
a los servidores Web. Recepción
de mensajes de correo requiriendo contestación a una dirección determinada y
pidiendo la máxima difusión de los mismos. Recomendación: Elaboración de perfiles. En
Internet, el comportamiento del consumidor puede ser "observado" por
el proveedor, el cual, puede acumular información personal sobre gustos,
preferencias y comportamiento del mismo, sin que éste tenga conocimiento de
ello. Este
acopio de datos se realiza registrando la información sobre los servidores Web
a los que accede un usuario, en qué páginas se detiene más tiempo, y qué
temas busca de manera habitual. De esta forma es posible realizar un perfil del
usuario muy completo sin su conocimiento. Existen
medios para evitar recogidas de datos personales, y entre ellos, quizá uno de
los que más éxito está teniendo entre los usuarios es el uso de servidores
que permiten navegar por Internet de forma anónima. El sistema consiste en que
el usuario accede en primer lugar a un servidor especializado en este cometido,
que le proporciona una identidad nueva a través de la cual puede acceder a
otros servidores. De
esta forma, los servidores Web a los que se accede no podrán obtener la auténtica
identidad del usuario. Recomendación: Cuando
navegue por Internet, sea consciente de que los servidores Web que visita pueden
registrar tanto las páginas a las que accede como la frecuencia y los temas o
materias por las que busca, aunque no le informen de ello. En el caso de que no
desee dejar constancia de sus actividades, utilice servidores que preserven el
anonimato. 2.2.2 Mecanismos de seguridad No
existe un único mecanismo capaz de proveer todos los servicios anteriormente
citados, pero la mayoría de ellos hacen uso de técnicas criptográficas
basadas en el cifrado de la información. Los más importantes son los
siguientes: Intercambio
de autenticación: corrobora que una entidad, ya sea origen o destino de la
información, es la deseada, por ejemplo, A envía un número aleatorio cifrado
con la clave pública de B, B lo descifra con su clave privada y se lo reenvía
a A, demostrando así que es quien pretende ser. Por supuesto, hay que ser
cuidadoso a la hora de diseñar estos protocolos, ya que existen ataques para
desbaratarlos. Cifrado:
garantiza que la información no es inteligible para individuos, entidades o
procesos no autorizados (confidencialidad). Consiste en transformar un texto en
claro mediante un proceso de cifrado en un texto cifrado, gracias a una
información secreta o clave de cifrado. Cuando se emplea la misma clave en las
operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico.
Estos sistemas son mucho más rápidos que los de clave pública, resultando
apropiados para funciones de cifrado de grandes volúmenes de datos. Se pueden
dividir en dos categorías: cifradores de bloque, que cifran los datos en
bloques de tamaño fijo (típicamente bloques de 64 bits), y cifradores en
flujo, que trabajan sobre flujos continuos de bits. Cuando se utiliza una pareja
de claves para separar los procesos de cifrado y descifrado, se dice que el
criptosistema es asimétrico o de clave pública. Una clave, la privada, se
mantiene secreta, mientras que la segunda clave, la pública, puede ser conocida
por todos. De forma general, las claves públicas se utilizan para cifrar y las
privadas, para descifrar. El sistema tiene la propiedad de que a partir del
conocimiento de la clave pública no es posible determinar la clave privada. Los
criptosistemas de clave pública, aunque más lentos que los simétricos,
resultan adecuados para las funciones de autenticación, distribución de claves
y firmas digitales. Los
mecanismos básicos pueden agruparse de varias formas para proporcionar los
servicios previamente mencionados. Conviene resaltar que los mecanismos poseen
tres componentes principales: Asimismo
es importante notar que los sistemas de seguridad requieren una gestión de
seguridad. La gestión comprende dos campos bien amplios: 2.2.2.1 Criptología Se
entiende por criptología el estudio y práctica de los sistemas de cifrado
destinados a ocultar el contenido de mensajes enviados entre dos partes: emisor
y receptor. La
criptografía es la parte de la criptología que estudia como cifrar
efectivamente los mensajes. Esto
que así dicho parece no revestir mayor importancia, se ha convertido en pieza
clave de un debate que ha desbordado muchos foros restringidos, hasta
configurarse como uno de los focos de mayor atención de la mayoría de los
gobiernos del planeta: En algunos países está directamente prohibido el uso de
encriptación de mensajes (como Francia o China, por ejemplo), en otros como
Estados Unidos está fuertemente controlado, impidiéndose la exportación de
programas encriptadores al considerarse por el Acta de Control de Exportación
de Armas (Arms Export Control Act) como incluida en su lista, junto a misiles,
bombas y armamento diverso (¿?). Todo
esto nos lleva directamente al enfrentamiento privacidad en las
comunicaciones-control gubernamental, lo que en términos orwellianos se
denomina "el control del Gran Hermano" (aunque esta expresión se
utiliza, también, para denominar a esa especie de ojo vigilante, que
presuntamente nos acecha continuamente y cuyo origen es indeterminado:
Gobiernos, espias de distinto grado, fisgones o meros curiosos...). Lo
cual desemboca en la posible afectación de derechos fundamentales de las
personas, como es el derecho a la Libertad de Expresión, que difícilmente se
puede conseguir si cuando nos comunicamos con alguien no sabemos quien o quienes
pueden realmente leer el mensaje, y el Derecho a la Privacidad. Problema
que se agrava en Internet, ya que los mensajes se pueden quedar en el
ciberespacio por tiempo indefinido, sin tener nosotros siquiera consciencia de
ello o de donde estará efectivamente copiada o almacenada nuestra
comunicación. La
cuestión es conseguir que aunque nuestros mensajes puedan ser interceptados,
resulten totalmente ininteligibles. Y esto se consigue con la criptología. No
estamos ante un problema trivial: es de vital importancia para que se desarrolle
el comercio seguro en Internet, para los grupos defensores de los Derechos
Humanos o para las comunicaciones entre abogados y sus clientes, por indicar
algunos de los cientos de ejemplos posibles. La
tendencia de los sistemas de clave simétrica, actualmente, es a utilizarlos
poco o simplemente para cuestiones que no necesiten un alto grado de protección. Los
sistemas de clave asimétrica son los que se están imponiendo, ya que ofrecen
un mayor grado de seguridad. Sobre todo porque no hace falta que la clave sea
conocida nada más que por una persona. Ya se sabe que cuando un secreto se
comparte, hay bastantes posibilidades para que deje de serlo. Entre
los programas encriptadores de esta segunda clase, el que se está configurando
como un standard (por lo menos en cuanto a los usuarios corrientes) y goza de
mayor popularidad es el PGP. Existe tanto en versiones gratuitas como
comerciales. En
España no tenemos ningún problema al respecto, pero en muchos países la
situación legal está todavía por definir. La
colisión de intereses que se produce es, por un lado el Derecho a la Intimidad
y a la Privacidad, y por otro, el deseo de los Cuerpos de Seguridad de que no
exista información a la que no puedan tener acceso. Se promete
interesante el debate en muchos países, como el que hay actualmente
abierto en Estados Unidos: Por un lado los
defensores de la Privacidad, por otro, cifras como las que presenta el FBI (y
eso que ellos no llevan a cabo la totalidad de las escuchas realizadas en los
EE.UU.): Entre 1.985 y 1.994, las escuchas ordenadas judicialmente formaron
parte de las pruebas que concluyeron en 14.648 sentencias, supusieron casi 600
millones de dólares en multas y más de 1.500 millones de dólares en
recuperaciones y embargos ordenados por los jueces. Esto se imposibilitaría con
el uso de encriptación fuerte 2.2.2.2 La criptografía en Internet. ¿
Por qué es importante la criptografía en Internet ? Pues porque básicamente
toda la estructura del comercio electrónico dependerá de ella. Recordemos
que aunque actualmente los volúmenes de las transacciones en línea no supera
los 500 millones de dólares por año las perspectivas más modestas apuestan a
que esa cifra suba hasta los 22.000 millones de dólares para el final del
milenio. Nicholas Negroponte, uno de los más reconocidos gurús de Internet,
considera montos por cien mil millones de dólares. Pero
si, como todos sabemos Internet nació hace más de veinte años como una red
militar, ¿por qué es insegura para transacciones comerciales ?, la razón,
como la explican los mexicanos Daniel Germán y Alejandro López Ortiz en su artículo
¿ Es la red lo suficientemente confiable ?, es que "desde sus
inicios se decidió que la seguridad de la información que se transmitía no
era una prioridad, lo más valioso en ese momento era interconectar computadoras
de forma tal que pudiera resistir fallas severas, posiblemente resultado de un
ataque nuclear contra los Estados Unidos". El
protocolo principal por el cual se transmite la información que viaja por la
red (TCP/IP, Transfer Control Protocol/Internet Protocol) no ha variado en su
esencia desde la creación de Internet. Esta
información se divide en paquetes más pequeños a los cuales se les llaman datagramas.
Estos datagramas son enviados por la red sin ningún orden específico. Así
cuando enviamos un mensaje que contenga, por ejemplo, las letras ABCD, éste se
dividirá en cuatro datagramas, cada uno con una letra. Estos
datagramas viajarán de modo independiente, para luego recomponerse en la
computadora de destino, sin que el receptor final pueda saber qué ruta tomó
cada uno de ellos. Sin embargo, ninguno de estos datagramas está encriptado y
cualquiera que los tome en su recorrido puede leerlos sin problema. Y
aquí es donde entra la criptografía como aliada del comercio en línea. La
idea es encontrar un sistema en donde los datos comerciales y financieros puedan
viajar de un modo seguro por la red. A ese sistema se le ha llamado SET (Secure
Electronic Transaction, Transacciones Electrónicas Seguras en español). SET
es un sistema de criptografía basado en el mecanismo de llave pública y en el
cual participan las más importantes compañías de tarjetas de crédito a nivel
mundial (Visa, Master Card y American Express) y varios colosos de la informática
(Microsoft, IBM, Netscape, entre otros). SET cubre los tres principios básicos
para asegurar el crecimiento del comercio en línea: El
tarjeta habiente, es la persona que dispone de la tarjeta electrónica para
realizar transacciones El
comerciante, es el que dispone de un sitio Web para realizar ventas en línea.
d) el pagador, es una institución que recibe del comerciante el certificado de
pago (voucher) que certifica la transacción entre el comprador y el vendedor La
cámara de compensación o gateway, es una institución que se encarga de
procesar el pago al comerciante y La
autoridad certificadora, que son instituciones encargadas de generar las llaves
públicas y privadas de cada uno de los miembros del sistema. Para
realizar una transacción en línea se requiere del siguiente proceso: Que
el comprador tenga una tarjeta electrónica debidamente certificada por el banco
emisor. Esta tarjeta contiene la identidad del usuario, su llave pública e
información sobre su cuenta. Todos estos datos están encriptados en forma de
un certificado que es único por cada tarjeta habiente. Criptografía digital. La
aparición de la computadoras y su increíble capacidad de procesamiento hizo
que la criptografía se hiciera digital. En 1976, IBM desarrollo un sistema
criptográfico denominado DES (Data Encryption Standard), que luego fue
aprobado por la Oficina de Estandarización de los Estados Unidos. DES
se basa en complicados sistemas matemáticos de sustitución y transposición,
los cuales hacen que sea particularmente difícil de romper. Sin embargo, DES
depende de que tanto el que envía el mensaje como el que lo recibe conozcan la
clave con la cual fue encriptada y en este sentido se parece al sistema usado
por los espartanos, que necesitaban tener el cilindro con el cual se había
codificado el texto para poder leerlo. En
el caso de DES al "cilindro" se le denomina "llave". La
seguridad de esta llave va a depender de su tamaño. Cuando tenemos un mensaje
cifrado hay un número "n" de posibilidades de descubrir la llave con
la cual se encriptó. Así, la confiabilidad de una llave depende de que ese número
"n" sea tan alto que a un atacante le tome demasiado tiempo probar
todas las posibilidades. Una
llave de 56 bits es actualmente el estándar en DES. Para leer un mensaje
cifrado con DES es necesario usar la misma llave con la cual se encriptó, lo
cual lo hace poco práctico e inseguro en el caso de transacciones comerciales
virtuales, porque la propia llave debería transmitirse por medios electrónicos. Para
resolver este problema se creó la criptografía de llave pública. Bajo este
sistema existen dos llaves: una privada y otra pública. Cuando A quiere enviar
un mensaje a B, le solicita su llave pública (que como su nombre lo indica
puede ser conocida por todo el mundo). Con
la llave pública A encripta el mensaje y lo envía a B, que luego procede a
descifrarlo aplicándole su llave privada, que no debe dar a conocer a nadie. La
ventaja de este método es que no requiere que ambas partes conozcan la llave
privada. Las
implementaciones más conocidas de la criptografía de llave pública es el RSA
y PGP. En 1977, Rivest, Shamir y Adelman desarrollaron RSA y publicaron el
algoritmo de encriptación, a pesar de la oposición del gobierno
norteamericano, que considera la criptografía un asunto de estado. Más
tarde la patente de RSA para al Instituto Tecnológico de Massachussets (MIT)
que luego la cede a un grupo denominado PKP (Public Key Partners). En 1991, el
programador Phil Zimmermann autoriza la publicación en boletines electónicos y
grupos de noticias un programa desarrollado por él y que denominó Pretty Good
Privacy (PGP o Privacidad Bastante Buena, en español). PGP
se basa en los algoritmos de RSA publicados en 1978. A pesar de las amenazas de
demandas, PGP sigue creciendo y hoy por hoy es el standard de encriptamiento más
difundido a nivel mundial. 2.3 COMPENDIOS DE MENSAJE. Los
compendios de mensaje se generan pasándolo a través de una función criptográfica
unidireccional (aquella que no puede invertirse). Cuando el compendio de un
mensaje se cifra utilizando la clave privada del remitente y se anexa al mensaje
original, el resultado se conoce como firma digital del mensaje. El
algoritmo utilizado por SET genera compendios de 160 bits. La probabilidad de
que dos mensajes tengan el mismo compendio es de 1 entre 1.048. SET
introduce un nivel superior de seguridad mediante el empleo de las denominadas
firmas dobles. Una firma de este tipo se genera creando un compendio de ambos
mensajes, encadenándolos entre sí, computando el compendio del resultado y
cifrando este compendio con la clave privada de la firma original. El firmante
debe incluir el compendio del otro mensaje que el destinatario sea capaz de
verificar la firma doble. El
receptor de uno u otro mensaje puede comprobar su autenticidad generando
el compendio en su copia del mensaje, encadenándolo con el compendio del otro
mensaje (suministrado por el remitente) y computando el compendio del resultado.
Si el compendio recién generado se corresponde con la firma doble
descifrada, el destinatario puede confiar en la autenticidad del mensaje. Para
incrementar aún más la seguridad de estos procedimientos, SET utiliza la
Certificate Authority (CA). seguridad
es uno de los aspectos más conflictivos del uso de Internet. La falta de una política
de seguridad global está frenando el desarrollo de Internet en áreas tan
interesantes y prometedoras como el comercio electrónico o la interacción con
las administraciones públicas, por ello es importante crear un
entorno seguro. (vea el ejemplo PASSWORD). En
un servidor
seguro es donde mejor se preserva la intimidad y confidencialidad de sus
clientes y donde se dan los mayores servicios
de seguridad. La
seguridad tiene connotaciones legales
que no siempre se respetan. 2.4 SEGURIDAD EN REDES COMPLEJAS: EL CASO DE INTERNET. El
fenómeno de la extensión de la Internet ha adquirido una velocidad tan rápida
y unas proporciones, que el panorama actual y muchos de los efectos que se dan
en su seno resultan sorprendentes y difícilmente imaginables hace sólo una década. Inicialmente
Internet nace como una serie de redes que promueven el intercambio de información
entre investigadores que colaboran en proyectos conjuntos o comparten resultados
usando los recursos de la red. En esta etapa inicial, la información circulaba
libremente y no existía una preocupación por la privacidad de los datos ni por
ninguna otra problemática de seguridad. Estaba
totalmente desaconsejado usarla para el envío de documentos sensibles o
clasificados que pudieran manejar los usuarios. situación esta muy común, pues
hay que recordar que la Internet nace como un contrato del Departamento de
Defensa Americano -año 1968- para conectar entre sí tanto las Universidades
como los centros de investigación que colaboran de una manera u otra con las
Fuerzas Armadas Norteamericanas. Los
protocolos de Internet fueron diseñados de una forma deliberada para que fueran
simples yu sencillos. El poco esfuerzo necesario para su desarrollo y verificación
jugó eficazmente a favor de su implantación generalizada, pero tanto las
aplicaciones como los niveles de transporte carecían de mecanismos de seguridad
que no tardaron en ser echados en falta. Más
recientemente, la conexión a Internet del mundo empresarial se ha producido a
un ritmo vertiginoso muy superior a la difusión de ninguna otra tecnología
anteriormente ideada. Ello ha significado que esta red de redes se haya
convertido en "la red" por excelencia. Esto es, el medio más popular
de interconexión de recursos informáticos y embrión de las anunciadas
autopistas de la información. Se
ha incrementado la variedad y cantidad de usuarios que usan la red para fines
tan diversos como el aprendizaje, la docencia, la investigación, la búsqueda
de socios o mercados, la cooperación altruista, la práctica política o,
simplemente, el juego. En
medio de esta variedad han ido aumentando las acciones poco respetuosas con la
privacidad y con la propiedad de recursos y sistemas. Hackers, frackers,
crackers ... y demás familias han hecho aparición en el vocabulario ordinario
de los usuarios y de los administradores de las redes. La
propia complejidad de la red es una dificultad para la detección y corrección
de los múltiples y variados problemas de seguridad que van apareciendo. Además
de las técnicas y herramientas criptográficas antes citadas, es importante
recalcar que una componente muy importante para la protección de los sistemas
consiste en la atención y vigilancia continua y sistemática por parte de los
gestores de la red. Como
ejemplo, en la Tabla F se recoge una lista exhaustiva de problemas
detectados, extraída del libro: "Firewalls and Internet Security.
(...)". LISTA DE PELIGROS MÁS COMUNES EN SISTEMAS CONECTADOS A INTERNET 1.-
De todos los problemas, el mayor son los fallos en el sistema de passwords. 2.-
Los sistemas basados en la autenticación de las direcciones se pueden atacar
usando números consecutivos. 3.-
Es fácil interceptar paquetes UDP. 4.-
Los paquetes ICMP pueden interrumpir todas las comunicaciones entre dos nodos. 5.-
Los mensajes ICMP Redirect pueden corromper la tabla de rutas. 6.-
El encaminamiento estático de IP puede comprometer la autenticación basada en
las direcciones. 7.-
Es fácil generar mensajes RIP falsos. 8.-
El árbol inverso del DNS se puede usar para conocer nombres de máquinas. 9.-
Un atacante puede corromper voluntariamente la caché de su DNS para evitar
responder peticiones inversas. 10.-
Las direcciones de vuelta de un correo electrónico no son fiables. 11.-
El programa sendmail es un peligro en sí mismo. 12.-
No se deben ejecutar a ciegas mensajes MIME. 13.-
Es fácil interceptar sesiones telnet. 14.-
Se pueden atacar protocolos de autenticación modificando el NTP. 15.-
Finger da habitualmente demasiada información sobre los usuarios. 16.-
No debe confiarse en el nombre de la máquina que aparece en un RPC. 17.-
Se puede conseguir que el encargado de asignar puertos IP ejecute RPC en
beneficio de quien le llama. 18.-
Se puede conseguir, en muchísimos casos, que NIS entregue el fichero de
passwords al exterior. 19.-
A veces es fácil conectar máquinas no autorizadas a un servidor NIS. 20.-
Es difícil revocar derechos de acceso en NFS. 21.-
Si está mal configurado, el TFTP puede revelar el /etc./passwords. 22.-
No debe permitirse al ftp escribir en su directorio raíz. 23.-
No debe ponerse un fichero de passwords en el área de ftp. 24.-
A veces se abusa de FSP, y se acaba dando acceso a ficheros a quien no se debe
dar. 25.-
El formato de información de WWW debe interpretarse cuidadosamente. 26.-
Los servidores WWW deben tener cuidado con los punteros de ficheros. 27.-
Se puede usar ftp para crear información de control del gopher. 28.-
Un servidor WWW puede verse comprometido por un script interrogativo pobremente
escrito. 29.-
El MBone se puede usar para atravesar algunos tipos de cortafuego. 30.-
Desde cualquier sitio de la Internet se puede intentar la conexión a una estación
X11 (X-Server). 31.-
No se debe confiar en los números de puerto facilitados remotamente. 32.-
Es casi imposible hacer un filtro seguro que deje pasar la mayoría del UDP. 33.-
Se puede construir un túnel encima de cualquier transporte. 34.-
Un cortafuego no previene contra niveles superiores de aquellos en los que actúa. 35.-
Las X11 son muy peligrosas incluso a través de una pasarela. 36.-
Las herramientas de monitorización de red son muy peligrosas si alguien accede ilegítimamente
a la máquina en que residen. 37.-
Es peligroso hacer peticiones de finger a máquinas no fiables. 38.-
Se debe de tener cuidado con ficheros en áreas públicas cuyos nombres contengan
caracteres especiales. 39.-
Los caza-passwords actúan silenciosamente. 40.-
Hay muchas maneras de conseguir copiar el /etc./passwords 41.-
Registrando completamente los intentos fallidos de conexión, se capturan
passwords. 42.-
Un administrador puede ser considerado responsable -si se demuestra conocimiento o
negligencia- de las actividades de quien se introduce en sus máquinas.
TABLA F. LISTA DE PELIGROS EN INTERNET. Fuente: "Firewalls and Internet
Security. Repelling the Wily Hacker" A
la hora de plantearse en que elementos del sistema se deben de ubicar los
servicios de seguridad podrían distinguirse dos tendencias principales: En
ambos casos, un problema de capital importancia es la gestión de claves. Este
problema es inherente al uso de la criptografía y debe estar resuelto antes de
que el usuario esté en condiciones de enviar un solo bit seguro. En el caso de
las claves secretas el problema mayor consiste en mantener su privacidad durante
su distribución, en caso de que sea inevitable su envío de un punto a otro. En
el caso de clave pública, los problemas tienen que ver con la garantía de que
pertenecen a su titular y la confianza en su vigencia (que no haya caducado o
sido revocada). Una
manera de abordar esta gestión de claves está basada en el uso de los ya
citados Certificados de Clave Pública y Autoridades de Certificación. El
problema de la vigencia de la clave se resuelve con la generación de Listas de
Certificados Revocados (CRLs) por parte de las CAs. 2.5 LA NECESIDAD DE ESTABLECER UN ENTORNO SEGURO. En
la actualidad, la falta de medidas de seguridad en las redes es un problema que
está en crecimiento. Cada vez es mayor el número de atacantes y cada vez están
más organizados, por lo que van adquiriendo día a día habilidades más
especializadas que les permiten obtener mayores beneficios en su labor de
piratería. Tal
y como se avanzaba en la primera parte de este articulo, la criptografía por sí
sola no es suficiente para prevenir los posibles ataques que se perpetran sobre
las redes, sino que es necesario establecer unos mecanismos más complejos que
utilizan los distintos sistemas criptográficos en sus cimientos. Pero
el problema no queda solucionado instalando en una serie de servidores
herramientas de seguridad, porque ¿quién tendría acceso a esas herramientas?,
¿a qué aplicaciones se aplicarían?, ¿qué sucedería si sólo uno de los dos
interlocutores en una comunicación tiene acceso a herramientas de seguridad?.
Por lo tanto, cuando se habla de seguridad en redes es necesario definir el
entorno en el que se va a aplicar. La
definición de un entorno seguro implica la necesidad de estudiar varios
aspectos y de establecer una infraestructura que dé soporte a los servicios de
seguridad que se quieren proporcionar. Lo primero que hay que establecer es qué
aplicaciones necesitan seguridad y cuántos servicios se necesitan. En segundo
lugar hay que determinar cómo se van a proporcionar esos servicios, si van a
ser transparentes al usuario, si se le va a dejar elegir el tipo de servicio,
etc. También
es necesario determinar en qué nivel se van a proporcionar, si en el nivel de
aplicación o en niveles inferiores. Y sobre todo, tanto si se utiliza
criptografía de clave secreta, como si se utiliza criptografía de clave pública
es necesario diseñar un sistema de gestión de claves y definir una política
que determine la forma en la que se debe operar. Cuando
se utiliza únicamente criptografía de clave simétrica, aunque el sistema de
generación de claves suele ser sencillo, ya que no se requiere una gran
infraestructura para soportarlo, los mecanismos de distribución de las claves
suelen ser muy complejos. En
este caso, los principales parámetros que hay que tener en cuenta son el modo
de difundir la clave secreta de forma segura a las dos entidades que van a
utilizarla y la frecuencia con la que se deben renovar las claves para evitar
que sean desveladas. Cuando
se utiliza criptografía de clave pública, el sistema de gestión de claves se
complica. En primer lugar es necesario almacenar las claves públicas en un
lugar al que tengan libre acceso todos los usuarios que forman parte del entorno
de seguridad. ITU, en su recomendación X.509, propone la utilización del
Directorio para este fin; pero no todos los usuarios de seguridad tienen acceso
al Directorio X.500, por lo que en muchos entornos es necesario crear o utilizar
otro tipo de bases de datos. El
segundo problema que se plantea al utilizar criptosistemas de clave pública, es
que las claves públicas, por el simple hecho de ser públicas, están expuestas
a la manipulación por parte de todos los usuarios, por lo que es necesario
buscar un mecanismo que permita confiar en su validez. Siguiendo
el ejemplo de los actuales sistemas legales, aparece la figura de una autoridad
de confianza que se encarga de certificar las claves públicas. Estas
autoridades, conocidas con el nombre de Autoridades de Certificación (CA
"Certification Authority"), emiten certificados de las claves públicas
de los usuarios firmando con su clave secreta un documento, válido por un período
determinado de tiempo, que asocia el nombre distintivo de un usuario con su
clave pública. En
la recomendación X.509 se define en sintaxis ASN.1 el siguiente modelo de
certificado:
Certificate ::= SIGNED SEQUENCE{
version
[0] Version DEFAULT 0,
serialNumber
CertificateSerialNumber,
signature
AlgorithmIdentifier,
issuer
Name,
validity
Validity,
subject
Name,
SubjectPublicInfo SubjectPublicInfo,
issuerUniqueId [1]
IMPLICIT BIT STRING OPTIONAL,
SUBJECTUniqueId [1] IMPLICIT BIT
STRING OPTIONAL} Además,
para que los usuarios puedan estar seguros de la validez de los certificados de
las claves pública de sus interlocutores, la CA debe mantener una lista con los
certificados emitidos por ella y que han sido revocados por detección de un uso
fraudulento de la clave pública certificada o de la clave secreta asociada. Estas
listas se conocen con el nombre de Listas de Certificados Revocados (CRL,
"Certificate Revocation List"). Cuando
la comunidad de usuarios crece, una sola CA puede verse desbordada por el número
de certificados que tiene que gestionar. En otros casos, las empresas o
instituciones quieren tener cierto control sobre la manera en que sus usuarios
generan las claves, la caducidad de los certificados, etc. Esto
hace conveniente distribuir las funciones de certificación entre varias CAs,
cuya política de seguridad puede ser diferente. En la recomendación X.509 ya
se prevé la necesidad de una organización de CAs donde se certifiquen unas a
otras, sin indicar el tipo de relación organizativa que se debe establecer
entre ellas. De
esta forma, dependiendo de las necesidades de cada entorno han aparecido
distintos modelos de organización de CAs. 2.6 UNA EXPERIENCIA DE ENTORNOS SEGUROS EN EL ÁMBITO ACADÉMICO:
PROYECTO PASSWORD. El
proyecto PASSWORD Piloting an European Security Infraestructure for Network
Application financiado por la Unión Europea dentro del programa VALUE tenía
como objetivo central el desarrollo de un entorno de seguridad apropiado para la
comunidad investigadora europea. Se
trataba de poner a prueba la madurez de las tecnologías empleadas en la provisión
de servicios de seguridad en redes telemáticas en aspectos como la adecuación
y completitud de los protocolos y herramientas criptográficas, adecuación del
hardware disponible (tarjeta inteligente), aspectos ergonómicos, etc. Para
probar la dificultad real de desarrollar independientemente sistemas que
interoperen entre sí, se constituyeron tres consorcios. Cada uno de los
consorcios desarrolló un sistema de seguridad completamente independiente a
partir de cero, con los que luego se probarían distintas comunicaciones
seguras. Cada
consorcio estaba formado por instituciones de un país distinto de la Unión
Europea y cada uno estaba liderado por una prestigiosa institución
investigadora. El
diseño inicial incluye una infraestructura de gestión de claves basada en
claves certificadas según X.509 y el aseguramiento de varias aplicaciones de
uso común: Directorio X.500, documentos ofimáticas en formato ODA y correo
electrónico, tanto X.400 (versión 88) como Internet PEM. Cada
aplicación era modificada para hacer uso de los servicios de seguridad y todas
ellas usaban una misma infraestructura de claves. El
directorio cumplía una doble función de aplicación asegurada y colaborador de
la infraestructura de certificados al ser la vía preferida para la distribución
de estos. DIATEL
participó en el proyecto como institución piloto, instalando una DSA segura y
dos Autoridades de Certificación con varios usuarios. Durante la experiencia se
pudieron realizar varias comunicaciones seguras con los otros participantes en
el proyecto. Las
aplicaciones probadas fueron, correo Internet PEM y Directorio seguro X.500
utilizando autenticación fuerte en peticiones y respuestas. Para ello se utilizó
el software público SecuDE 4.2 del GMD e ISODE 8.0. En el transcurso del
proyecto se contribuyó a depurar el software y afloraron algunas de las
limitaciones de este modelo que se exponen más adelante. 2.7 ENTORNO SEGURO PARA LA TRANSFERENCIA DE INFORMACIÓN. Uno
de los puntos más vulnerables de las redes frente a ataques de intrusos, es la
captura de información durante su transferencia. Aunque cada sistema que forma
parte de una red se proteja internamente a sí mismo y a la información que
tiene almacenada, cuando la información se transfiere de un sistema a otro no
se conoce a priori el encaminamiento que va a seguir ni las medidas de seguridad
que poseen los sistemas por los que atraviesa y los medios por los que se
transmite. Por
este motivo la transferencia segura de información a través de las redes es en
la actualidad, el principal problema que los investigadores intentan solucionar. DIATEL
ha estado trabajando en los últimos años en el proyecto de la UE, COST225
"Secure Communications", cuya coordinación en la última fase, ha
sido llevada a cabo por uno de los miembros del grupo de seguridad del
Departamento, que ha realizado la función de "chairman". El
objetivo de este proyecto, que ha concluido al inicio de 1995, ha sido el de
estudiar y experimentar en varios entornos seguros en los que se realiza
transferencia de información, como son el correo electrónico y la
transferencia de ficheros a través de FTP y FTAM. Concretamente, en DIATEL se
ha montado un entorno de seguridad que permite transferir información con
distintos niveles de seguridad, a través de cualquier aplicación. El
desarrollo consta de dos partes fundamentales. La primera parte consiste en una
aplicación, denominada SECKit, que permite a un usuario manejar distintas
herramientas de seguridad con el fin de poder convertir a un fichero normal, en
un fichero con un cierto nivel de seguridad. La
aplicación SECKit que por su carácter experimental no incluye un interfaz de
usuario amigable, presenta un único menú en el que aparece la lista de
operaciones que permite realizar. La
segunda parte consiste en el desarrollo de un servidor de seguridad denominado
SECServer. Este servidor de seguridad no sólo oferta los servicios de una
autoridad de certificación (generación de certificados de claves públicas),
sino que además ofrece la posibilidad de generación de claves RSA para
aquellos usuarios que no sean capaces de generarlas, y se encarga del
almacenamiento y distribución de los certificados de los usuarios que lo
soliciten. Las
peticiones de servicios al SECServer se realizan a través de correo electrónico
y el SECServer envía los certificados o las claves solicitadas a través de
correo electrónico, FTP o FTAM. En
este entorno de seguridad los usuarios antes de transferir un fichero lo pueden
transformar en un fichero firmado, en un fichero encriptado con DES o RSA, o en
lo que en el entorno se denomina, un fichero seguro. Y
cuando reciben un fichero firmado, encriptado o seguro, procedente de otro
usuario, lo pueden transformar en el fichero original, verificando la validez de
la información recibida. Un
fichero seguro es el resultado de combinar los mecanismos de seguridad de firma
y encriptado con el fin de proporcionar los servicios de autenticación de
origen y destino, integridad, confidencialidad y no repudio de origen. Cuando
un usuario A desea enviar un fichero seguro a un usuario B, debe seguir los
siguientes pasos: El
entorno diseñado en esta experimentación es un entorno muy abierto. Cualquier
usuario de Internet que tenga correo electrónico puede acceder al SECServer
para solicitar claves RSA o certificados. Si los usuarios del servidor tienen
acceso al Directorio X.500, ellos mismos pueden guardar sus certificados en su
entrada correspondiente y pueden recuperar los certificados de sus
interlocutores. Los
usuarios que tienen certificadas las claves publicas por la CA del entorno no
necesitan obligatoriamente tener instalada la aplicación de usuario SECKit para
realizar comunicaciones seguras; basta con que los usuarios tengan un traductor
de sintaxis ASN.1 y una implementación de los algoritmos utilizados en el
entorno. En
la última fase del proyecto COST 225, varias de las instituciones
participantes, y entre ellas DIATEL, han centrado sus esfuerzos en plantear
nuevos modelos en los que participan varias CAs. Se han estudiado distintas
arquitecturas de organización de las CAs y se han buscado soluciones para que
los usuarios puedan conocer los caminos de certificación compuestos por los
certificados que se deben examinar para que un usuario A tenga plena confianza
en la validez de la clave pública de un usuario B. Cuando
usted se conecta a un servidor Web seguro como El
certificado digital le confirma que una compañía independiente y con
privilegios legales le asegura que el servidor Web al que se ha conectado
pertenece a la compañía que dice ser. Un
certificado de seguridad válido significa que usted obtiene la conformidad de
que está enviando información al lugar
correcto. El
certificado de seguridad para dominios en Internet que tramita el centro
proveedor Interplanet está acreditado por la empresa Thawte Consulting quién
opera como Notario Virtual para toda la red Internet a la vez que da fe
de la autenticidad de su empresa cuando alguien se conecta a su servidor seguro. El
certificado digital que puede obtener para su dominio registrado en Interplanet
es aceptado por los fabricantes de software más importantes y en consecuencia
por los siguientes navegadores o browsers de Internet: Netscape Navigator 3.0. Existen
en Internet otras compañías que suministran el famoso Certificado Digital
basado en el protocolo de comunicaciones SSL (secure socket layer) 3.0
reconocido ya por los mayores fabricantes de software para Internet pero sólo
Thawte Consulting ha demostrado ser la más eficaz y lo que es más importante
la compañía más rápida a la hora de entregar el certificado suministrando al
usuario que lo haya solicitado información detallada del estado actual de su
petición a través de una página Web personal. Lea
el artículo acerca del significado y uso protocolo SSL de seguridad para la
transacción encriptada de información personal y empresarial por Internet en
la Base de Conocimiento de Interplanet Enterprise. Si
su organización o empresa decide suscribir un certificado digital para uno o
varios dominios en Internet deberá saber que todas las páginas Web incluidas
en el dominio principal así como archivos, imágenes, formularios y más que
estén incluidas dentro de su directorio raíz y hayan sido solicitadas por
parte de los usuarios que las visiten a través del protocolo de seguridad HTTPS
en lugar del estándar HTTP serán verificadas como "Sitio Seguro" para
la tranquilidad de todos sus clientes. 2.8 LOS SERVICIOS DE SEGURIDAD El
documento de ISO que describe el Modelo de Referencia OSI, presenta en su Parte
2 una Arquitectura de Seguridad. Según esta arquitectura, para proteger las
comunicaciones de los usuarios en las redes, es necesario dotar a las mismas de
los siguientes servicios de seguridad: Para
proporcionar estos servicios de seguridad es necesario incorporar en los niveles
apropiados del Modelo de Referencia OSI los siguientes mecanismos de seguridad: Para
que un usuario confíe en el procedimiento de autenticación, la clave pública
de su interlocutor se tiene que obtener de una fuente de confianza, a la que se
denomina Autoridad de Certificación. La Autoridad de Certificación utiliza un
algoritmo de clave pública para certificar la clave pública de un usuario
produciendo así un certificado. Un
certificado es un documento firmado por una Autoridad de Certificación, válido
durante el período de tiempo indicado, que asocia una clave pública a un
usuario. 2.9 IMPLICACIONES LEGALES. La
seguridad informática es rica en implicaciones legales. Las leyes españolas
restringen la manipulación abusiva de datos personales tan comunes como la
dirección, teléfono, etc. obligando a proteger los ficheros que
contengan este tipo de datos. Otros datos personales como los sanitarios,
ideología, religión o vida sexual están especialmente protegidos, requiriéndose
permiso escrito del afectado para su tratamiento o bien, sólo en algunas
excepciones, una legislación especial. Aunque
aún no se ha desarrollado un reglamento, y su incumplimiento es manifiesto, la
ley está en vigor desde enero de 1992. El pasado verano la Agencia de Protección
de Datos solicitó la inscripción de todos los ficheros automatizados con datos
personales existentes, solicitando a la organización responsable que indicase
qué ámbito tiene cada fichero, qué tipo de información guarda, etc. También
el uso y la exportación de criptografía están contemplados en la legislación
de muchos países despertando no poca polémica. En la mayoría de los países
de nuestro entorno, incluida España, se permite libremente el uso de la
criptografía pero no su exportación, basándose en el hecho de que se
consideran tecnologías de doble uso que pueden tener una utilización militar. España
adoptó las limitaciones a la exportación habituales dentro de la Alianza Atlántica
por un Real Decreto en 1993. Finalmente
la validez de la firma digital ante posibles conflictos o reclamaciones, también
está perfectamente avalada en la legislación vigente. Respecto a su uso en el
ámbito de la contratación privada, -para dar validez a una oferta, encargo u
orden de pago hecha por medios electrónicos- la ley se refiere únicamente a
que se pueda demostrar la voluntad de contratar. En
el ámbito de la Administración Pública, se reconoce explícitamente la
validez de los métodos electrónicos de transferencia de la información
siempre que se garantice la identidad (servicio de autenticación). Esta
normativa contempla tanto las relaciones entre lo diferentes departamentos como
las de los administrados con la Administración. Sin
embargo hay que reconocer que, ni en el derecho mercantil ni en el
administrativo hay jurisprudencia en la aplicación de estas leyes, ya que los
interesados que usan estos procedimiento prefieren llegar a acuerdos antes que
recurrir a los tribunales. Dentro
de Europa, es excepcional el caso de Francia donde el simple uso de la
criptografía está prohibida a no ser que se disponga de una licencia. En
sentido contrario, algunos países nórdicos no tienen ningún tipo de limitación
respecto a la exportación. Hay que tener en cuenta que este tipo de
limitaciones tienen muy poca efectividad ante la dificultad existente para
vigilar la exportación de software. Por
otra parte, aunque se prohíba la exportación de los sistemas seguros, los
algoritmos criptográficos y protocolos para la consecución de servicios de
seguridad son frecuentemente públicos, con lo que los sistemas se pueden volver
a desarrollar en el país de destino. 2.9.1 Firmas de comprobación aleatoria (HASH). Las
funciones de comprobación aleatoria son similares a las de cifrado (de hecho,
algunas de ellas son funciones de cifrado con ligeras modificaciones). La mayoría
de estas funciones toma un bloque de datos y lo somete reiteradamente a una
sencilla función de desordenación (scramling) para alterar sus elementos. Si
esta operación se repite un cierto número de veces, no existe forma práctica
conocida de predecir el resultado. Es
imposible modificar un documento de un modo determinado y estar seguro de que la
función de comprobación aleatoria producirá el mismo resultado. Este
tipo de firma utiliza una función de comprobación aleatoria criptográficamente
segura, como Message digest 5 (MD-5) o Secure Hash Algorithm
(SHA), para producir un valor de comprobación aleatoria a partir de un archivo. El
procedimiento de comprobación aleatoria encadena su clave secreta. El
destinatario también tiene ua copia de la clave secreta y la utiliza para
evaluar la firma. En
el caso de CyberCoin, de CyberCash, los usuarios reciben claves secretas cuando
adquieren el producto. Estas claves sólo son conocidas por su ordenador y por
el ordenador central. Cuando está a punto de practicarse una transacción, se
compone de un archivo que contiene el importe y los detalles, y después se
firma con la clave secreta (el cliente ensambla el archivo, encadena la clave
secreta, computa la función de comprobación aleatoria y, finalmente, expide el
archivo y el resultado de la función de comprobación aleatoria sin la clave
secreta). El banco central puede verificar esta transacción repitiendo el cálculo,
ya que también conoce el valor secreto. La
firma basada en comprobación aleatoria es posiblemente el menos conocido de los
algoritmos de firma. Ha adquirido progresivamente mayor popularidad porque
requiere una menor intensidad computacional que el resto de algoritmos. Diversos
sistemas de micropagos (microcash), como Millicent de DEC o CyberCoin, emplean
firmas de comprobación aleatoria para recortar los costes de procesamiento y
posibilitar transacciones más pequeñas. Todos
estos sistemas requieren que un servidor central verifique cada una de las
transacciones, y emplear algoritmos más rápidos implica consumir menos
potencia de servidor y reducir la carga del ordenador central. La
principal limitación de la firma de comprobación aleatoria es que el
destinatario también debe poseer una copia de la clave secreta para verificar
la firma. Esto podría permitir que el receptor falsificara una firma. Mantener
estas claves secretas comporta ciertas molestias, por lo que muchos usuarios
emplean una infraestructura secreta compartida. 2.9.2 Desarrollo de algoritmos de seguridad ·
EL ALGORITMO
DSS. En este
algoritmo existen dos claves para cada persona. Una de ellas crea la firma
y se mantiene secreta. La otra - la clave pública - verifica la firma. El DSS
fue desarrollado por el U.S. National Institute of Standards and Technology
(NIST) con la colaboración de la National Security Agency (NSA). Sólo están
obligadas a utilizarlo las compañías que mantienen negocios con el gobierno
americano, y muchas prefieren no hacerlo porque es un sistema exclusivamente de
firma. El NIST eligió esta solución limitada, porque el gobierno de EE.UU.
pretende desalentar el uso de cualquier software de cifrado que cercene su
capacidad para fisgonear en asuntos ajenos. El software que sólo proporciona autentificación, como el
DSS, puede exportarse libremente en los productos, mientras que el software que
emplea RSA para cifrado general está sometido a severas restricciones. ALGORITMO RSA. Las firmas RSA son, con mucho, las más populares, gracias en parte al márketing
agresivo, la política de patentes y el desarrollo a largo plazo que ha adoptado
RSA Data Security. Esta empresa controla muchas de las patentes más importantes
en este campo, y aunque ha tenido que hacer frente a numerosos litigios, RSA ha
sabido utilizar su posición para consolidarse definitivamente como líder. Su
software y sus bibliotecas se encuentran en el núcleo de muchos productos, y la
compañía sigue contando entre sus filas con algunos de los criptógrafos más
reconocidos. RSA
Data Security fue la firma encargada de integrar el software de firma digital
con el sistema operativo Macintosh mucho antes de que floreciera el Web, por
ejemplo. También añadió a PowerTalk (el software cooperativo de Apple)
applets de firma de Arrastrar y soltar que permitían que cualquier usuario
incrustara una firma digital en un formulario electrónico con sólo arrastralo
hasta el icono. RSA Data Security ha otorgado licencia sobre sus patentes a los
principales vendedores de sistemas operativos, incluidos Microsoft, IBM, Sun y
Digital, y cada uno de ellos ha incorporado prestaciones similares a sus líneas
de productos, aunque sin alcanzar el mismo nivel de integración. A diferencia
de DSS, RSA también puede utilizarse para cifrar datos y proporcionar
seguridad, además de autenticidad. Tanto
en los algoritmos de clave pública como en los de comprobación aleatoria, el
nivel de seguridad puede mejorarse verificando que los secretos y las claves
contengan el número suficiente de bits como para resistir cualquier ataque
conocido. Las
firmas de comprobación aleatoria son más susceptibles de violación, dado que
el secreto que se usa para crear la firma es conocido por ambas partes. Una
fisura en el ordenador central o el allanamiento del domicilio del usuario podrían
comprometer una firma de comprobación aleatoria. Por
otra parte, la clave que genera la firma en los sistemas de clave pública sólo
se guarda en el ordenador del propietario, lo que reduce significativamente los
riesgos de seguridad. ·
SSL Handshake.
Durante el hanshake se cumplen varios propósitos. Se hace autenticación del
servidor y opcionalmente del cliente, se determina que algoritmos de criptografía
serán utilizados y se genera una llave secreta para ser utilizada durante el
intercambio de mensajes subsiguientes durante la comunicación SSL. Los
pasos que se siguen son los siguientes: Ahora
ambas partes están listas para intercambiar información de manera segura
utilizando la llave secreta acordada y los algoritmos criptográficos y de
compresión. El Handshake se realiza solo una vez y se utiliza una llave secreta
por sesión.
Intercambio de datos: Ahora que se ha establecido un canal de transmisión
seguro SSL, es posible el intercambio de datos. Cuando el servidor o el cliente
desea enviar un mensaje al otro, se genera un digest (utilizando un algoritmo de
hash de una vía acordado durante el handshake), encriptan el mensaje y el
digest y se envía, cada mensaje es verificado utilizando el digest. 2.10 SECURE HYPERTEXT TRANSFER
PROTOCOL (S-HTTP) La
propuesta de S-HTTP sugiere una nueva extensión para los documentos, .shttp, y
el siguiente nuevo protocolo: Secure * Secure-HTTP/1.1 Usando
GET, un cliente solicita un documento, le dice al servidor qué tipo de cifrado
puede manejar y le dice también dónde puede encontrar su clave pública. Si el
usuario con esa clave está autorizado a acceder al documento, el servidor
responde cifrando el documento y enviándoselo al cliente, que usará su clave
secreta para descifrarlo y mostrárselo al usuario. Las
negociaciones entre el cliente y el servidor tienen lugar intercambiando datos
formateados. Estos datos incluyen una variedad de opciones de seguridad y
algoritmos a utilizar. Las líneas usadas en las cabeceras incluyen: o
DES-CBC o
DES-EDE-CBC
o
DES-EDE3-CBC
o
DESX-CBC o
IDEA-CFB o
RC2-CBC o
RC4 o
CDMF o
DES-ECB o
DES-EDE-ECB
o
DES-EDE3-ECB
o
DESX-ECB o
IDEA-ECB o
RC2-ECB o
CDMF-ECB Uno
de los métodos de cifrado disponible en S-HTTP es el popular PGP
. S-HTTP
y SSL utilizan aproximaciones distintas con el fin de proporcionar servicios de
seguridad a los usuarios de la Red. SSL ejecuta un protocolo de negociación
para establecer una conexión segura a nivel de socket (nombre de máquina más
puerto). Los servicios de seguridad de SSL son transparentes al usuario y a la
aplicación. Por
su parte, los protocolos S-HTTP están integrados con HTTP. Aquí, los servicios
de seguridad se negocian a través de las cabeceras y atributos de la página.
Por lo tanto, los servicios de S-HTTP están disponibles sólo para las
conexiones de HTTP. Dado
que SSL se integra en la capa de sockets, también permite ser usado por otros
protocolos además del HTTP, mientras que el S-HTTP está concebido para ser
usado exclusivamente en comuniciones HTTP. 2.10.2 Transacción electrónica segura (SET) El
estándar SET para transacciones electrónicas seguras en redes abiertas como
Internet fue desarrollado por Visa y MasterCard con la asesoría de empresas
como IBM, Netscape y RSA entre otras. Está basado en la criptografía más
segura, la criptografía de llaves públicas y privadas RSA. SET agrupa a las
siguientes entidades en un solo sistema de pago: Para
poder hacer una transacción SET cada uno de los participantes debe estar
registrado por una entidad certificadora, que como su nombre lo indica emite un
certificado electrónico en el que hace constar la identidad de una entidad.
SET pretende masificar el uso de Internet como "el mayor centro comercial
del mundo", pero para hacerlo SET fue diseñado para lograr: A
diferencia de una transacción o compra persona a persona, por teléfono o
correo, donde la transacción la inicia el comerciante, en SET la transacción
la inicia el tarjeta habiente.
Una vez todos los participantes estén registrados ante una autoridad
certificadora, pueden empezar a realizar transacciones seguras. Veamos una
solicitud de compra: Cuando
el comerciante recibe la orden, verifica la firma del tarjeta habiente
utilizando su certificado y además chequea que el mensaje no haya sido
alterado, haciendo uso del messager digest. El comerciante envía la información
de pago al intermediario. Luego de procesar la información de la orden, el
comerciante genera y firma un mensaje de respuesta en el que indica que la orden
fue recibida. Si luego se logra autorización del pago, el comerciante envía
las mercancías o presta el servicio por el que se le pagó. Como
se pudo haber dado cuenta, no es necesario hacer la autorización antes de
enviar un mensaje al tarjeta habiente, este proceso se puede llevar a cabo después
entre el comerciante y el intermediario de pago. El proceso es el siguiente:
Las
amenazas de seguridad al comercio Internet son innumerables, pero la industria
está maniobrando con rapidez para ofrecer a los consumidores un mecanismo
seguro. Una
vez extendidas las redes, no cabe duda de que en algunas aplicaciones telemáticas
resulta imprescindible incorporar servicios de seguridad para que cubran los
objetivos para los que fueron previstas. En aplicaciones de nuevo desarrollo sería
conveniente que se tengan en cuenta los requerimientos de seguridad antes de su
implantación. En
la actualidad la tecnología existente permite incluir seguridad en las
aplicaciones con unos costes razonables. Los interfaces de usuario deben ser
suficientemente amigables para conseguir que los servicios de seguridad añadidos
dificulten lo menos posible el manejo de las aplicaciones. 3. EMPRESA VIRTUAL Cabe
aclarar que en el comercio electrónico lo ideal sería que no compita con las
formas habituales de comprar, las complemente. Específicamente, el comercio
electrónico empresa-consumidor es aquel que se refiere a las relaciones de
negocio entre el productor y el consumidor final. Los beneficios de este tipo de
comercio son muy grandes; el cliente no tiene que moverse de su casa, su
capacidad de elección es mucho mayor, no necesita trasladarse a los lugares de
compra para buscar distintas opciones y elegir la más conveniente, además de
la facilidad de comprar con un simple número de tarjeta de crédito y esperar
la entrega de los productos adquiridos en su propio domicilio. Además, los
riesgos existentes en este tipo de comercio se deben a la carencia de costumbre
por parte del consumidor y la falta de una cultura electrónica que posibilite
la masificación. También es posible que los tiempos de entrega no sean los
esperados, aun así su desarrollo es alentador. Cabe
mencionar, que todos los negocios que no sean capaces de evolucionar y adoptar
este sistema de comercialización, no podrán permanecer en el medio y serán
destruidos por la enorme competencia. Basta
con ver la tendencia de las empresas llamadas "punto-com", que día a
día van desapareciendo; Es necesario el estar consientes, considerar la situación
y el ver al comercio electrónico como una excelente herramienta de apoyo, pero
no como único medio de hacer negocios.
Gráfica 1. Recortes en empresas punto-com durante el año 2000 Como
es conocimiento de todos, una de las empresas americanas que nos puede servir de
ejemplo es Amazons, quien actualmente solo a podido sobrellevar su rentabilidad,
aun y cuando a su inicio era una buena promesa de negocio, a la cual muchos le
apostaron invirtiendo en acciones aun y cuando esta solo tenía perdidas. Como
ya se había mencionado, una de las principales razones de esta tendencia
negativa es la desconfianza del consumidor y la falta de información del mismo,
también se debe a la propaganda negativa que dan las personas que por alguna
razón no recibieron el servicio esperado por el negocio, ya sea por tiempo,
calidad, precio o simple apatía. Uno
de los puntos clave es la seguridad, y al hablar de seguridad no sólo se
refiere a que las transacciones sean seguras, sino que esa seguridad sea
respaldada por una agencia externa que ofrezca este servicio, lo que le
garantiza a los consumidores que no es sólo una página Web más en la Red u
otro negocio dudoso que busca hacer dinero rápido y fácil. Cuando
se han estudiado las razones por las cuales las compañías llamadas punto-com
han fracasado, se ha llegado a la conclusión de que no todo es por una falta de
confianza y mala planeación de inversión (como todos dicen), sino por errores
de mayor profundidad, como lo son el no contar con alguna ventaja competitiva
(algo básico) o por no brindar beneficios tangibles a los consumidores. Se
ha discutido mucho sobre la manera correcta de hacer comercio electrónico,
sobreponiendo los puntos clave que puedan llevar a un negocio a contar con
ventajas competitivas y beneficios. La mayoría concuerdan con que se debe tener
en cuenta desde inicios del proyecto diferentes puntos como lo son:
Mercadotecnia y sus 4P´s (Producto, Precio, Plaza y Promoción), el público al
cual se van a dirigir, el diseño, la publicidad y la adaptación al cambio. 3.1 CREAR UNA EMPRESA EN INTERNET Una
de las dudas que se le plantea al emprendedor, tras la irrupción de Internet en
el mundo de los negocios, es "cómo creo mi empresa en Internet".
Hasta tal punto los "expertos de la Nueva Economía" nos han repetido
que Internet lo cambia todo y que los negocios virtuales son distintos a todo lo
visto jamás que muchas personas llegan a pensar que crear una empresa en
Internet es algo diferente a hacerlo en el "mundo real". Vamos a
examinar las características de estas nuevas empresas virtuales para comprender
que no existe ninguna diferencia substancial entre crear una empresa en el mundo
virtual o en el mundo real. 3.2 ¿QUÉ ES UNA EMPRESA VIRTUAL? A
falta de definición formal por parte de los Nuevos Economistas, entenderemos
que estamos ante una empresa virtual cuando esta empresa realice la mayor parte
de su negocio "en Internet". Esto
significa que se relacionará con sus clientes y proveedores vía Internet, sus
procesos sean fundamentalmente automatizables en Internet y el negocio pueda en
teoría "funcionar sólo". Estos negocios "sólo Internet"
también tienen un nombre (en la nueva economía todo tiene un nuevo nombre,
cuando no dos o tres): son los pure players, los "jugadores
puros", los que sólo están en Internet. A
poco que se piense, es fácil comprobar que cualquier empresa virtual tiene, en
realidad, poco de virtual. El sueño de muchos ciberemprendedores de estar
tumbados en la playa mientras su "web" produce millón tras millón no
es más que una falacia. Cualquier negocio real o virtual va a pedir muchas,
muchas horas al equipo emprendedor, horas bien "reales". 3.3 ¿SON REALMENTE DISTINTAS LAS EMPRESAS VIRTUALES? La
verdad es que resulta fácil llegar a pensar que una empresa virtual es
realmente distinta a una "empresa del mundo real". Las posibilidades
que brindan el uso intensivo de los sistemas de información y la
capacidad de comunicación potencial con otros agentes del mercado pueden hacer
que dos empresas del mismo sector, una "tradicional" y una
"virtual" sean realmente distintas. Sin
embargo, en un mismo sector "tradicional" no sería difícil encontrar
dos empresas que sean también totalmente distintas, ya sea por su distinta
aplicación de la informática, por el ámbito regional en que operan o por su
distinto uso de los canales de distribución o del marketing. Y sin embargo,
nadie pensaría que están en sectores distintos. Entre
las empresas en general, resulta fácil comprender que las características del
negocio de, p.e., un fabricante de microprocesadores no son las mismas que las
de un restaurante de una gran capital. Son empresas muy distintas; pero siguen
siendo empresas "reales", nadie pensaría que pertenecen a mundos
distintos. Y,
si bien, es cierto que las empresas virtuales tienen unas características
distintas a las de muchos negocios tradicionales de su mismo sector (diferencias
cada vez menores, porque los negocios tradicionales tampoco permanecen inmóviles),
estas diferencias se han exagerado tanto que se ha llegado a crear toda una
Nueva Economía. Todo
esto se traduce, a efectos prácticos para el emprendedor dispuesto a crear una
empresa virtual, en la necesidad de conocer estas características diferenciales
para tratar de explotarlas al máximo a la vez que en la necesidad de evitar
caer en la trampa de olvidar o desdeñar aspectos básicos de todo negocio, sea
"virtual" o "real". 3.4 LA CREACIÓN DE LA EMPRESA VIRTUAL 3.4.1 El Plan de Empresa Previamente
a la creación de toda empresa, es aconsejable que el emprendedor analice y
estudie su futura empresa mediante un Plan de Empresa. De nuevo, tal vez
convenga recordar que la finalidad del Plan de Empresa no es conseguir
financiación de ningún business angel ni presentarse a ningún
concurso de ciberemprendedores (aunque son dos aplicaciones útiles del mismo).
Insistiremos una vez más en que el Plan de Empresa no es más que el producto
de algo más importante que es el proceso de reflexión y análisis del
futuro negocio que todo emprendedor debe realizar antes (y también después)
de crear su empresa. Por
tanto, el plan de empresa de una empresa virtual no es distinto de cualquier
otro plan de empresa. Con todo, dado la importancia de la base tecnológica
sobre el que se asentará la nueva empresa es conveniente un análisis lo más
completo posible de este punto. También deberán estudiarse detalladamente
los procesos automatizables (incluyendo las relaciones con clientes y
proveedores) pues lógicamente estos procesos serán los primeros en implantarse
en el "servidor web" de la nueva empresa. 3.4.2 El proceso de creación Una
vez decidida la creación de la empresa virtual, el proceso de constitución
formal es idéntico al de una empresa normal. En este punto es muy
importante no caer en algunas trampas que esperan a una nueva empresa virtual,
especialmente la fundado por el emprendedor "técnico experto en
Internet" que jamás ha conocido el funcionamiento completo de una empresa. Como
quiera que técnicamente es muy sencillo "crear una web desde casa" y
"empezar a vender", el emprendedor puede caer en la tentación de
pensar que no está sujeto a las leyes y reglamentos que rigen para el
resto de empresas. Sin embargo, el ejercicio de cualquier actividad económica
está sujeto a obligaciones formales y a impuestos diversos. El emprendedor no
debe pensar que ya se ocupará de los aspectos legales cuando la cosa vaya bien.
Legalmente es obligatorio resolver determinados aspectos legales antes de
empezar. Otra
trampa no menos importante, es creer que la facilidad "para empezar"
va a mantenerse siempre y la empresa quedará libre de cargas propias de las
"antiguas empresas", cosas desagradables como alquiler de locales o
los contratos con el personal. Si la empresa realmente empieza a funcionar,
pronto, muy pronto, el nuevo emprendedor descubrirá que su empresa y sus
problemas no tienen nada de virtuales. Y
para empeorar la situación, la actividad en Internet es fundamentalmente
internacional. Esto complica las cosas pues aparecen temas que muchas empresas
"tradicionales" no deben contemplar como transportes internacionales y
aduanas, distintos idiomas y legislaciones, horarios diversos, etc... Todos
estos puntos deben considerarse al crear una empresa virtual, y sobretodo,
mantenerse alerta y con capacidad suficiente para adoptar los rápidos cambios
que esperan a un negocio en Internet que empieza a prosperar (y en Internet
puede empezar a prosperar en semanas). 3.4.3 Características propias de la empresa virtual Ya
hemos intuido algunos aspectos diferenciales de las empresas
"virtuales". Examinemos con detalle otros no menos importantes. Con
todo conviene advertir que de la misma manera que las empresas tradicionales son
realmente distintas entre sí, las empresas "virtuales" también
pueden llegar a ser muy distintas entre ellas (basta pensar en la diferencia
entre dos negocios como Yahoo! y Amazon) por lo que las características que se
citan a continuación deben ser revisadas y ampliadas para cada nuevo negocio
virtual. 3.4.3.1 Tecnología Internet Por
definición, una empresa virtual sería aquella que desarrollara todo su negocio
en ese "mundo virtual". Para entender qué es el "mundo
virtual" hay que comprender qué es Internet. Internet es simplemente una
enorme red de ordenadores y su finalidad era, es y será comunicar a las
personas que usan esos ordenadores. Comprender este simple hecho, básico pero
fundamental, ayudará a no perderse entre las "maravillas" (y algunas
tonterías) de la Nueva Economía. 3.4.3.2 Red de ordenadores El
elemento fundamental que soporta Internet es el conjunto de ordenadores y, cada
vez más, otros elementos activos como teléfonos móviles y otros aparatos
electrónicos. Estos "nodos" se conectan mediante un sistema de
comunicaciones de manera que desde cualquier punto debería ser posible alcanzar
cualquier otro punto de la red. A
efectos prácticos para la nueva empresa esto significa que se va a hacer un uso
intensivo de la informática. Tal vez esto no sea problema para el típico técnico-ciberemprendedor,
pero puede ser un problema cuando busque personal y puede ser una catástrofe si
son *sus clientes potenciales* los que tienen dificultades en el uso de su
sistema. Conviene tener muy presente este aspecto básico del negocio, que por
obvio no debe de dejar de analizarse. 3.4.3.3 Comunicación entre personas La
finalidad de Internet es la de permitir comunicarse con otras personas. (Aunque
existe una curiosa aplicación de Internet consistente en crear un gran negocio
fantasma para luego vendérselo a algún incauto por mucho dinero) Y la
finalidad de los negocios en Internet es obtener provecho de esas
posibilidades de comunicación entre los distintos agentes del mercado: las
empresas y sus clientes, los proveedores, empleados, la inevitable Hacienda Pública,
etc. Esto
implica que un negocio en Internet debe ser esencialmente capaz de comunicarse y
hacerlo con las características propias del medio, es decir, de forma flexible
e interactiva. Una empresa no está en Internet porque tiene una "página
web", pero si lo estará si usa eficientemente su correo electrónico. Las
empresas virtuales deberán centrarse en estos aspectos de comunicación más
allá de donde llegan la empresas tradicionales. Finalmente, si bien
comunicarse, p.e., con los clientes es bueno y comunicarse mucho con los
clientes es mejor, soportar una avalancha de pedidos, o peor de quejas, puede
superar la capacidad de respuesta de la empresa. 3.4.3.4 El Marketing en Internet Uno
de los nuevos descubrimientos de la Nueva Economía es el Marketing en Internet.
En realidad el Marketing en Internet como tal no existe. Existe el Marketing (el
de toda la vida) y, como consecuencia de las dos características anteriores
(red de ordenadores y comunicación flexible), surgen nuevas e interesantes
posibilidades de comunicación y promoción con el mercado y los clientes que
antes eran impensables. Por
tanto, un factor diferencial de las empresas virtuales está en los métodos y técnicas
que usan para contactar, negociar y relacionarse en general con sus clientes.
Usar métodos de comunicación tradicionales en un medio como Internet puede no
dar los resultados deseados. Y no sólo es la "comunicación y promoción"
de productos lo que debe revisarse al entrar en Internet, incluso el
"precio" o hasta el "producto" debe ser objeto de análisis
y reflexión. 3.4.3.5 Globalización Ya
hemos visto el aspecto internacional inherente a Internet. No hay diferencia en
estar en Internet para los compatriotas y estarlo para los extranjeros. Esto
significa que, incluso en el caso de que no lo desee, clientes potenciales (y
proveedores) de cualquier parte del mundo pueden comunicarse con su empresa. No
estaría de más tener una política clara a este respecto. Internacionalizar
una empresa puede ser positivo... siempre que eso forme parte de su estrategia. De
cara a la nueva empresa virtual, este aspecto puede presentar su vertiente
positiva desde el momento en que el mercado potencial es enorme en comparación
con el mercado local. Pero también presenta sus complicaciones derivadas de las
distintas reglamentaciones y leyes de los distintos países o, simplemente, de
la capacidad de operar en distintos idiomas o monedas (de nuevo, potencialmente,
todos!). 3.4.3.6 Logística Como
consecuencia de esta capacidad de vender globalmente, la nueva empresa virtual
debe estar preparada para transportar sus productos hasta sus clientes. Si un
emprendedor crea una nueva tienda "real" esperará que los clientes
vengan a comprar a ella. Pero si crea una tienda "virtual" en
Internet, entonces son los clientes quienes esperarán que les llevan los
productos hasta su casa. Las complicaciones derivadas de este pequeño detalle
pueden dar al traste con más de una idea de negocio. 3.4.3.7 Teletrabajo Internet
permite, a priori, que los empleados de una nueva empresa trabajen en lugares
distintos. Esto puede suponer una pequeña ventaja para la empresa virtual al
implicar un menor coste derivado del mantenimiento de una oficina, p.e. Pero de
nuevo, conviene no dejarse engañar por esta pequeña "ventaja"
inicial. Si las cosas prosperan, la empresa virtual necesitará pronto (y en
Internet, pronto es realmente pronto) empleados a tiempo completo bien
comunicados y coordinados ... tal como lo están en una misma oficina. 3.5 LA ENTREGA DEL MATERIAL Otro
de los problemas actuales al que se enfrentan las empresas virtuales es el de la
entrega del material. Lo que en muchos comercios es algo tan simple como llenar
una bolsa que se llevará el cliente, en una empresa virtual se convierte en
hacer llegar la compra a la dirección que nos indique el cliente, en perfectas
condiciones del producto y, si puede ser, hacerlo ya. Si
el negocio virtual vende información, puede ser relativamente fácil entregarla
de forma inmediata, pero como saben las primeras empresas virtuales que intentan
servir alimentos o productos perecederos, un pequeño retraso en la entrega
puede convertirse en algo realmente desagradable para el cliente. La
entrega de pequeñas mercancías pueden suponer un costo de transporte superior
al importe de la misma compra, lo que provoca que muchos clientes desistan en su
pedido. El servicio de entrega estará normalmente en las manos de empresas
terceras con el consiguiente riesgo para nuestra reputación en caso de
problemas. La facilidad de compra por parte de clientes desde el extranjero
puede quedar anulada por la dificultad de entrega del material bien sea por
motivos de costes o de aduanas. Todo eso por no contar con Hacienda y la
complejidad que en determinados casos puede suponer el cálculo de los impuestos
indirectos sobre las ventas. Empieza
a quedar claro que no todos los negocios se adaptan por igual a la idiosincrasia
del comercio electrónico. Y aún así, debe quedar claro que "montar una
empresa virtual" es algo que va mucho más allá del aspecto meramente
tecnológico. 3.6 LA "TRAS-TIENDA" VIRTUAL DE TODA EMPRESA VIRTUAL Como
en toda empresa, en nuestra empresa virtual será necesario desenvolverse con
facilidad por la trastienda. Ya hemos visto la necesidad de gestionar fácil y
correctamente un amplio catálogo de productos. 3.6.1 Procesos internos Normalmente,
será el software del e-commerce el que proporcione capacidades de gestión de
mercancías, almacenes, proceso de pedidos, facturación, etc. Y desde luego es
importantísima la integración de los módulos de la empresa virtual con el
resto del Sistema de Información de la empresa. El paso de datos a
contabilidad, control de almacén, facturación y cuentas a cobrar debería
estar automatizado en la medida de lo posible. Y
no sólo es una buena idea integrar la Empresa Virtual en nuestro Sistema de
Información, también puede ser competitivamente ventajoso estar conectados con
nuestros proveedores de mercancías y los servicios de logística para poder
proporcionar información puntual y exacta a los clientes que pregunten acerca
de sus pedidos pasados, presentes o incluso futuros. 3.6.2 Información de marketing La
información obtenida desde la empresa virtual es una fuente de primera
importancia para conocer cuáles son los deseos y necesidades de nuestros
clientes y adaptar o crear productos y servicios que atiendan esos
requerimientos. A
diferencia de las actuales bases de datos que contienen poca más información
acerca del cliente que sus datos personales y algún dato de tipo económico,
una buena base de datos generada a partir de una buena tienda virtual puede
obtener verdaderos patrones de comportamiento (y de compra) de individuos o de
grupos. El
potencial de esa información desde el punto de vista del marketing está aún
por explotar. La posibilidad de ofrecer productos o servicios adicionales, sean
propios (venta cruzada) o de terceros (productos complementarios o financiación,
p.e.), aumenta el potencial de negocio pero también la complejidad de la
empresa virtual. Los mailings personalizados, las ofertas puntuales dirigidas a
clientes perfectamente calificados, etc. son algunas de las posibilidades de una
buena gestión de la información generada por la empresa virtual. 3.7 USTED ES UNA EMPRESA VIRTUAL QUE HACE COMERCIO ELECTRÓNICO Cuatro
pasos fundamentales: 1. Venta Online, Usted debe preparar su sitio para ésta importante y responsable
actividad, mediante creación de Catálogos, Guías de Productos y Servicios,
"Vidrieras y Góndolas Electrónicas", "Carritos de Compras"
así como brindar sistemas de pago seguro, sistemas de envío, sistema de
devoluciones, etc, exactamente como lo haría en su mundo físico. 2. Procesos Administrativos, exactamente como en la contraparte física, Usted deberá
prever y facilitar la tramitación administrativa, con máximo criterio analítico
pues entre su sitio y sus clientes no existirá la siempre útil y difícilmente
reemplazable ayuda humana. Evidentemente Usted realizará grandes economías con
la gestión electrónica, que le aconsejamos canalizar en sensibles descuentos a
fin de ir captando clientes hacia ésta nueva forma de comercializar sus
productos y servicios. 3.
Red Interna de Cómputo, le aconsejamos disponer de su propia red de cómputo
interna con la cual coordinar las aplicaciones que se llevan a cabo en su
empresa virtual en Internet. Al respecto, le recomendamos ver nuestra Guía Intranet. De
la misma forma que Usted se está volcando al e-Commerce es lícito pensar que
todos los participantes activos de su negocio también lo están haciendo. Puede
pensar, ¿porque no?, en usar la misma red pública Internet para comunicarse
con sus empleados, proveedores, distribuidores y clientes en la medida que ellos
tengan acceso similar al suyo y se pongan de acuerdo en establecer ciertas
reglas de juego bajo la forma de "protocolos de comunicación". Así,
uno de sus vendedores podría consultar desde su casa o desde un Cibercafé, si
hay o no stock de un cierto producto y hacer reservas del mismo empleando
Internet. Lo harán como si hablaran por teléfono pero con una diferencia
sutil: no pagarán servicios de larga distancia pues ¡¡la red se encarga de
las transmisiones troncales, nacionales e internacionales a costo igual a cero.
Esa es la maravilla económica de Internet. Con todo esto usted ya es un experto
en e-commerce. 4.
Intranet y Extranet, finalmente Usted ha logrado tener su empresa virtual
con la imprescindible infraestructura física: talleres, máquinas, ingenieros,
capataces y obreros, su propia red interna de computación y un mínimo de
empleados capacitados en Tecnologías de la Información, Comunicaciones e
Internet. Ver nuestra Guía Intranet. Este
camino ideal no siempre se completa y no es necesario para todas las empresas.
Demos por sentado que tanto Usted, el dueño de la empresa, como sus vendedores,
sus principales proveedores y sus principales clientes tienen computadora y están
conectados a Internet. Es decir, en Internet están: su mercado, sus clientes y
su propia gente. Crear
una empresa virtual no es nada distinto de crear una empresa real. Son lo mismo.
Pero para crear y desarrollar con éxito una empresa "en Internet" hay
que conocer las características de esta tecnología y su aplicación a los
negocios. Aunque tampoco estaría de más conocer las características propias
del negocio básico, aquel que se explota usando precisamente esas nuevas
herramientas. Después
de todo, la empresa virtual de éxito cada vez tendrá menos de virtual.
Inicialmente, casi todo la empresa "podrá estar" en Internet, pero a
medida que prospere la "parte real", por pequeña que sea, terminará
por hacerse enorme mientras que la parte "virtual" seguirá
manteniendo un tamaño relativamente estable. No estaría de más prepararse
para este "incidente". Conviene
olvidar algunas de las grandes y absurdas mentiras de los "nuevos
expertos" acerca de las empresas "virtuales". Toda empresa, sea
real, virtual o como se le quiera llamar, debe centrarse desde el primer momento
en generar un cash-flow sano. Lo contrario es una solemne barbaridad. (A no ser,
claro, que pretenda venderle el negocio a alguien antes de que estalle). 4. LOGÍSTICA En
esta sección se describe de forma muy general, las posibles áreas de acción
de "Virtual.com", dando soporte, las funciones que debe realizar, la
información que maneja y todos los posibles factores que afecten su desarrollo. En
forma general el sistema deberá proporcionar soportes a tareas como: Es
importante dar de alta en el sistema una serie de datos de los clientes que
permitan agilizar la gestión de un pedido. Los pedidos de los clientes de
elementos de hardware se basan en la información de precios, rendimiento, etc.
disponible en el sistema. Cuando
llega el pedido de un cliente (por correo electrónico generalmente), se
comprobará si hay suministros disponibles en el inventario y se ingresa al
sistema interno (lo cual no es muy importante describir en este momento). Además
el sistema debe estar en capacidad de recibir y almacenar los datos de los
clientes que accedan al portal lo cual permita proporcionar los suministros o
servicios ofrecidos y agilizar la gestión de los pedidos. También debe
identificar si un usuario es cliente ocasional o afiliado a algún tipo de crédito. 4.1 ORGANIZACIÓN DE LAS EMPRESA El
proyecto de "Virtual.com" físicamente está formado por: ·
Dirección:
toma las decisiones principales sobre el desarrollo del diseño y funcionamiento
del proyecto. ·
Departamento
de compras: compra y
nacionaliza los elementos hardware importados. ·
Departamento
de diseño: trata
todo sobre el diseño del portal. ·
Almacén:
guarda los componentes hardware y distribuye los pedidos. ·
Departamento
de mantenimiento: se
encarga de manejar los servicios de reparación y mantenimiento a los usuarios o
afiliados. 4.2 GESTION DE LA EMPRESA 4.2.1 Desarrollo del pedido El
sistema deberá proporcionar información a sus clientes sobre los nuevos
elementos hardware disponibles o los nuevos servicios prestados a través de
publicidad vía correo electrónico. Durante
la realización de un pedido, el sistema deberá ser capaz de proporcionar
información al cliente sobre los artículos, su valor y el valor total parcial
del pedido, además de declarar de forma muy especifica el tiempo de entrega del
pedido. También
es importante poder informar si los suministros o servicios ofrecidos están
disponibles o no para poder satisfacer la necesidad del cliente. 4.2.2Desarrollo de compra a proveedores Los
proveedores de partes y suministros serán fabricantes de hardware confiables, a
quienes se le compraran versiones OEM (Original Equipment Manufacturer) de sus
productos. La gestión de un pedido a proveedores debe ser acordada entre la
dirección, el almacén y el departamento de compras; para que esta sea
equilibrada con los inventarios de suministros del almacén. Lo
ideal es mantener cantidades manejables de suministros almacenadas para poder
surtir los pedidos a tiempo. Si un suministro solicitado por un cliente no se
encuentra en el almacén, el encargado del almacén se deberá poner e contacto
con la dirección de compra y esta realizará el pedido correspondiente. Los
pedidos a proveedores serán registrados en el sistema informático de la
empresa y deberán estar disponibles para cuando sean solicitado. Dichos pedidos
deberán ser proporcionados a las necesidades futuras de la empresa. 4.2.3Recepción de mercancías El
proceso de recepción de mercancías deberá ser un proceso muy importante para
la naturaleza delicada de los suministros. Cuando se reciba un pedido al
proveedor se deberá confirmar que lo recibido fue lo realmente pedido y luego
deberá ser almacenado en un lugar correspondiente, para así evitar una
irregular distribución de los componentes. El
sistema interno deberá ser capaz de proporcionar información de la distribución
y localización física del almacenamiento de los suministros recibidos. Esto
permitirá planificar de forma anticipada la recepción y almacenamiento
adecuados de los pedidos. 4.2.4 Envíos Este
tipo de empresas no tiene una relación directa con sus clientes, solo a través
de los encargados de distribuir los pedidos, por eso es de suma importancia para
las mismas. Pero también se hace necesario que a medida que empiece su
desarrollo comercial expanda su logística y planta física con la gestión de
su propio almacén y entrega o distribución de sus propios pedidos, lograra
bajar costos sin repercutir sobre el cliente. 4.3 CARACTERÍSTICAS DEL USUARIO El
diseño del sistema deberá ofrecer una interfaz interactiva, fácil de manejar.
El sistema debe ofrecer agilidad para diligenciar los pedidos y accesibilidad a
la información de los artículos ofrecidos. 4.3.1 Restricciones Este
proyecto intentará implementar las políticas y procesos de negocios que se
manejan actualmente, por la influencia del desarrollo de nuevas tecnologías. El
sistema será desarrollo bajo el paradigma cliente/ servidor, proporcionando
funciones que permitan el registro de usuarios, la modificación de los datos
del usuario y la información de la disponibilidad de los suministros y
servicios ofrecidos. 4.3.2Dependencias El
sistema seguirá el concepto de la arquitectura cliente/ servidor, por lo que la
disponibilidad del sistema dependerá de la conexión entre las máquinas en las
que residirá el programa cliente y la máquina servidora de datos. 4.4 REQUISITOS ESPECIFICOS En
esta sección describimos los requisitos funcionales que deberán satisfacer las
necesidades del sistema. Estos
requisitos se han especificado teniendo en cuenta los posibles criterios que se
presentarán durante el desarrollo del proyecto. 4.4.1 Requisitos funcionales 4.4.1.1 Gestión de clientes El
desarrollo del proyecto se basa básicamente en el manejo de los pedidos de los
clientes, la gestión de los demás departamentos no es muy importante
especificar en este momento. Req (1) Para todos los usuarios ocasionales que se quiere dar
de alta en el sistema, introducirá los datos básicos como: nombre, teléfono,
fax, e-mail, url. Req (2) Si un cliente desea acceder a los créditos abiertos
dispuestos por Virtual.com, deberá además de ingresar los datos básicos deberá
ingresar referencias bancarias, propósito de la organización, tipo de tecnología
que maneja, referencias crediticias. Req (3) El sistema deberá permitir la modificación de los
datos del cliente. Req (4) Los pedidos de los clientes serán datos de alta en el
sistema. Req (5) Si el usuario es un afiliado debe ingresar su número
de identificación seguido por el pedido y su valor. Req (6) El sistema debe estar en posibilidad de comparar el
valor total del préstamo con el del tope del crédito disponible. Req (7) Cuando se recibe un pedido se comprobará si se puede
servir o no, según las existencias del almacén y si no se le informa
oportunamente a los clientes interesados y se realizará el pedido a los
proveedores. 4.4.2 Requisitos de interfaz externo 4.4.2.1Interfaces del usuario El
diseño debe ser orientado a las facilidades de uso, interactivo y debe contener
la información de los suministros y servicios ofrecidos. 4.4.3 Requisitos de desarrollo El
ciclo de vida para el diseño del sistema será el de prototipo evolutivo, de
manera que permita incorporar fácilmente cambios que permitan mejorar el diseño
del mismo. 4.5 REQUISITOS TECNOLÓGICOS La
aplicación cliente podrá ser ejecutada sobre PC con una configuración mínima
de: Los
PC deberán tener configuración para trabajar en internet, y este estará
optimizado para internet explorer 3.0 y versiones superiores. o
Seguridad: Cuando
un usuario tiene acceso al portal para acceder a los clientes deberá ingresar
su identificación (login) y el sistema deberá comprobar que se trata de un
usuario autorizado. Pero
también podrá acceder como usuario ocasional obtendrá solo una cantidad de
información y prebendas limitadas, teniendo acceso a las funciones que le
corresponden. Ningún
usuario podrá acceder a la información de otro usuario dándole de baja o
utilizando su login para hacer pedidos a nombre de otros. CONCLUSIONES Existe
una fuerte demanda de aplicaciones computaciones en el Web, que aumenta cada día
junto con su complejidad. La adopción de tecnologías muy nuevas, y la gran
demanda por estas, contribuyen a la conocida "crisis de software",
pero en este caso en el Web. A esta crisis que no se es capaz de dar solución
con las herramientas y metodologías existentes, pretende aliviarse con un
ambiente integrado que satisfaga las distintas etapas y enfoques de desarrollo
en el web de manera de cumplir con la promesa del web, de ser una "amplia
tela mundial". Crear
una empresa virtual no es nada distinto de crear una empresa real. Son lo mismo,
pero para crear y desarrollar con éxito una empresa "en Internet" hay
que conocer las características de esta tecnología y su aplicación a
cualquier campo de comercio. Aunque
tampoco estaría de más conocer las características propias del mercado al
cual queremos acceder, aquel que se explota utilizando precisamente estas nuevas
herramientas brindadas por Internet. Después de todo la empresa virtual de éxito
tendrá cada vez menos de virtual. Inicialmente
casi toda la empresa "podrá estar" en Internet, pero a medida que
prospere la "parte real", por pequeña que sea, terminará por hacerse
enorme mientras la parte "virtual" seguirá manteniendo un tamaño
relativamente estable. Autor: Jhon Barraza Estrada Compartir Publicación enviada por Jhon Barraza Estrada Contactar mailto:spawn10814@hotmail.com Código ISPN de la Publicación EpZpAlVyllImSfjofF Publicado Tuesday 9 de December de 2003 Ultimas Publicaciones en ilustrados.com
ilustrados.com nace con el fin difundir el conocimiento publicando trabajos de investigación, monografias, tesis, presentaciones powerpoint y afines. Publicar trabajos en ilustrados.com ha alcanzado prestigio y reconocimiento internacional siendo cada vez más el número de académicos, empresas, investigadores, científicos que consultan las publicaciones de nuestro portal. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
