índice

Introducción

Metodología

E-commerce como un nuevo modelo de comercio

Seguridad y garantías del e-commerce. Empresa virtual

Logística

Conclusiones

INTRODUCCIÓN

El impacto de la Internet en el mudo entero ha sido realmente arrollador, de una u otra forma todos hablan de Internet, recurren a ella y/o realizan negocios en línea (e-commerce / e-business). Siendo este último un importante punto de partida para el estruendoso desarrollo de un nuevo mercado y la evolución del concepto de la economía actual a un nuevo concepto "e-economía".

Todo esto nos permite especular con que el futuro de muchas de las empresas del sector "real", indiscutiblemente está en aprovechar y saber proyectar de una forma provechosa el potencial que le ofrece Internet. La creciente demanda que existe actualmente de llevar negocios hacia la infraestructura del "e-commerce", basados en el concepto de la "Empresa Virtual"; si a esto se le suma el aumento en la inversión en tecnologías de ventas y servicios al cliente. (CRM).

Basados en estos conceptos e integrando las llamadas "tecnologías de punta", proponemos el desarrollo del proyecto "Virtual.com"; proyecto que no aparece como la solución específica de un problema lógico, sino como una nueva propuesta que se integra al desarrollo de nuevos conceptos como lo son el de mercado y las relaciones comerciales entre cliente y vendedor.

METODOLOGÍA

Con la finalidad de cubrir todas las posibles inquietudes generadas por la presentación de este proyecto, fue necesario investigar a fondo sobre temas como lo son: el e-commerce, e-business, La empresa Virtual, seguridad en Internet, etc. En fuentes electrónicas de Internet, así como en la base de datos de la biblioteca electrónica del Instituto Tecnológico y de estudios superiores de Monterrey.

De las cuales se logró extraer diversos artículos relacionados con el tema, lo cual nos dio bases para realizar este proyecto.

 

1. E-COMMERCE COMO UN NUEVO MODELO DE COMERCIO

 

Este nuevo modelo de hacer comercio ya empieza a palparse en ejemplos como el que proporciona la industria de las computadoras, donde los fabricantes como DELL^® o IBM^® pueden planificar su producción basándose en las diferencias reales manifestadas directamente en las preferencias reales manifestadas directamente por los consumidores vía Internet. A su vez, los proveedores que abastecen las materias primas, pueden planear sus entregas basándose en los planes de producción de los fabricantes, obtenidos también en tiempo real vía Internet.

Esto demuestra que estos negocios tienden a operar prácticamente sin inventarios y los intermediarios cada vez son menos requeridos, lo que obliga a crear formas novedosas de añadir valor a los servicios ofrecidos.

Ante los últimos años, la economía mundial se ha desarrollado más allá de las expectativas, y la dirección del sector privado de forma eficaz juega un papel importante en dicho proceso de desarrollo.

Muchos observadores creen que los adelantos de la tecnología de la información, manejado por el crecimiento del Internet, ha contribuido a crear una economía rápida y confiable. Algunos incluso se atreven a afirmar que estos adelantos crearon un "boom" largo que tomará a la economía a las nuevas alturas durante los próximos años.

Pero también existen quienes se encuentran escépticos sobre la contribución del comercio electrónico a la economía y a la productividad global.

El reciente crecimiento rápido del Internet es en parte atribuible a su fuerza como un medio de comunicación, educación y función, y más recientemente, como una herramienta para el comercio electrónico. Los negocios virtuales en cada sector de la economía están empezando a usar el Internet para cortar el costo de comprar, el manejo de las relaciones del proveedor, las logísticas aerodinámicas y el inventario, producción del plan, y alcance de los nuevos y ya existentes clientes de una forma más eficaz.

1.1 "INTERNET COMO BASE FUNDAMENTAL PARA EL DESARROLLO DE UN NUEVO CONCEPTO DEL COMERCIO"

Todo parece indicar que seremos testigos de una batalla épica entre los comerciantes tradicionales y aquellos que nos ofrecen sus mercancías con un simple clic, de la cual el generador no será nadie más que el consumidor; a medida que se intensifica la competencia, bajan los precios y mejora la calidad del servicio.

Por que el Internet es nuevo y sus usos se están desarrollando muy rápidamente, las estadísticas económicas fiables son muy difíciles de encontrar. La investigación extensa se necesita.

En este informe se utilizan ejemplos de compañías, que permiten ilustrar el paso rápido a que el comercio de Internet está desplegándose. Ejemplos que muestran el crecimiento del Internet y por consiguiente el crecimiento del comercio electrónico en estos últimos años es numeroso.

Al comprender este potencial, sin embargo, muestran la principal preocupación de los sectores privados y estatales, los cuales deben trabajar por crear un armazón legal predecible, lo cual permita facilitar el campo de acción del comercio electrónico; para crear medios no burocráticos que aseguren que el Internet es un medio seguro; y para crear políticas de recursos humanos que doten a los estudiantes y obreros de las habilidades necesarias para los trabajos en la nueva economía digital (e-economía).

1.1.1 El e-commerce

Internet es una poderosa herramienta que puede darnos la ventaja competitiva necesaria para enfrentar los retos tecnológicos de la época. Cualquier empresa puede incursionar efectivamente en Internet; tanto si se desarrolla en el ámbito industrial, comercial como en el área de servicios. Es de suma importancia tener claros cuáles son los beneficios que pueden derivar de esta forma de trabajo y su importancia dentro de las organizaciones.

El E-commerce (Comercio Electrónico) o lo que es lo mismo: "hacer negocios electrónicamente" permite a las empresas adquirir una fuerte posición estratégica dentro del mercado. En la actualidad, los hombres y mujeres de negocios ven al Comercio Electrónico como una manera de modernizar sus operaciones, alcanzar nuevos mercados y servir mejor a sus clientes.
Juega también un rol muy importante dentro de la reingeniería de los procesos de negocio al interior de una organización; ya que resulta una manera de automatizar los procesos entre departamentos o divisiones de una organización.

Nuevas posibilidades A través del comercio Electrónico es posible:
· Hacer más sencilla la labor de los negocios con los clientes.
· Efectuar una reducción considerable del inventario.

· Acelerar las operaciones del negocio.

· Proveer nuevas maneras de para encontrar y servir a los clientes.

· Ayudar a diseñar una estrategia de relaciones con sus clientes y proveedores, especialmente a nivel internacional.

Mucha gente piensa que el comercio electrónico es todavía una utopía. Sin embargo, si observamos el volumen de negocios que efectúan países como Estados Unidos o Canadá, la perspectiva cambia: es posible pensar al comercio electrónico como una oportunidad de negocio que puede llegar a representar a todos los sectores y países, incluida la Argentina.

En nuestro país el número de operaciones comerciales o financieras que pueden realizarse va aumentando progresivamente día a día. Es alentador observar como las grandes tiendas de electrodomésticos y algunos bancos ya ofrecen la posibilidad de comprar o realizar transacciones a través de Internet.

El e-commerce no solo sirve para comprar un libro, encargar flores o hacer la compra del supermercado; te permite también realizar operaciones bursátiles, comprar suministros para las empresas o formalizar operaciones de comercio internacional. El ámbito de aplicación es infinito y en la actualidad se dispone de programas que automatizan la operación y garantizan el pago seguro de la misma; tanto si se trata de microtransacciones para pagar un juego o un CD musical como de operaciones financieras de envergadura.

En síntesis, el Comercio Electrónico puede mejorar visiblemente la manera de hacer negocios y abre el camino para entablar relaciones comerciales más provechosas y eficientes.

1.1.2 El Comercio A Través De Internet Entre Los Negocios

El comercio de Internet está creciendo más rápido entre los negocios. Se usa para la coordinación entre los funcionamientos adquisitivos de una compañía y sus proveedores; los proyectistas de la logística en una compañía y las compañías de transporte que el almacén y mueve sus productos; las organizaciones de las ventas y los comerciantes al por mayor o minoristas que venden sus productos; y el cliente repara y funcionamientos de mantenimiento y los último clientes de la compañía.

El uso comercial de computadoras rápidamente el cobertor como las compañías en una variedad de industrias los usó guardar los mayores de contabilidad, administre la nómina, cree la dirección informa, y producción del horario.

En los años setenta, los negocios extendieron su poder de la informática más allá de las paredes de la compañía, mientras enviando y recibiendo órdenes de la compra, facturas y notificaciones del envío electrónicamente vía EDI (los Datos Electrónicos Intercambian). EDI es una norma por compilar y transmitir la información entre las computadoras, a menudo encima de redes de comunicaciones privadas llamadas las redes valor-agregadas (los Carros de mudanzas). Los años ochenta también trajo la introducción de plan computadora-ayudado (el SINVERGÜENZA), la ingeniería computadora-ayudada (CAE) y computadora-ayudó la fabricación (la LEVA) sistemas que les permitieron a ingenieros, diseñadores y técnicos acceder y trabajar en las especificaciones del plan, mientras diseñando dibujos y la documentación técnica vía las redes de comunicaciones corporativas interiores.

El costo de instalación y mantenimiento de Carros de mudanzas publicó la comunicación electrónica del alcance de muchos negocios pequeños y medianos. Por la mayor parte, estos negocios confiaron en el facsímil y telefonean para sus comunicaciones comerciales. Compañías aun más grandes que usaron a menudo EDI no comprendieron las economías potenciales llenas porque muchos de sus compañeros comerciales no lo usaron.

El Internet hace el comercio electrónico económico a incluso la oficina de la casa más pequeña. Las compañías de todos los tamaños pueden comunicar ahora entre sí electrónicamente, a través del Internet público, redes para el compañía-uso sólo (el intranets) o para el uso por una compañía y sus compañeros comerciales (el extranets), y las redes valor agregadas privadas.

El crecimiento de comercio electrónico negocio-a-comercial es estado manejando por los más bajo costos de la compra, las reducciones en los inventarios, que el más bajo ciclo cronometra, el servicio del cliente más eficaz y eficaz, más bajo ventas y costos comercializando y nuevas oportunidades de las ventas.

1.1.3 Generalización Del Comercio A Través De Internet En Los Usos Sociales

En opinión, la curva de crecimiento de las expectativas de los negocios en Internet será a partir de ahora decreciente, debido al conocimiento que ya se tiene sobre esta herramienta.

Para el responsable de Gartner, hasta el momento la expansión del comercio electrónico y el 'e-business' es casi exponencial debido a la aparición de tecnologías que han permitido el nacimiento del comercio en Internet. Sin embargo, Solía apuntó que una vez superada esta segunda fase de decrecimiento de las expectativas y asentamiento del comercio electrónico, se alcanzará una fase de crecimiento sostenido y progresivo que culminará en un plazo de seis a ocho años con la generalización en el uso de Internet como vehículo de comercio.

1.2 SER O NO SER '.COM'

El ejecutivo de Gartner Group Iberia destacó lo que ya se ha venido escuchando abundantemente en los últimos tiempos, que aquellas empresas que en breve plazo --apuntó el 2005-- no estén presentes en la Red simplemente "no serán". Solía explicó que esto no significará su desaparición, sino que perderán la oportunidad de hallar un lugar destacado en el comercio electrónico.

"Estamos ante una revolución copernicana", en el sentido de que los hábitos de comercio tradicionales han cambiado y que su marcha atrás es imposible, ya que el comercio electrónico se observa como "la próxima máquina de crecimiento mundial", señaló.

El mundo de Internet está "sobrecargado de emociones e infraevaluada en su realidad", es decir, existe una gran expectación ante lo que las nuevas tecnologías de la información pueden ofrecer, señaló Solía. Para el directivo, esto podría actuar en contra del propio comercio electrónico, ya que recordó que el negocio en la Red "no es ni fácil, ni barato, pero no es opcional".

1.3 ORACLE COMO UNA i-BUILDER

Oracle (www.oracle.com) ofrece una plataforma integrada de productos que van desde la publicación de la información, personalización, motor de búsqueda, transacción e integración con sistemas ERP y proveedores para el manejo de inventario y distribución. ¿Uno de sus clientes estrellas? Nada más y nada menos que Amazoman.Com

La solución que propone Oracle es el Oracle 8i, una base de datos que maneja altos volúmenes de información, facilita el mercadeo omane to one, permite el desarrollo y puesta en marcha de aplicaciones y habilita los negocios en Internet. Está basado en Java por ser el lenguaje más robusto, incluye herramientas de administración como el Enterprise Manager, trabaja con el protocolo SSL de seguridad y soporta distintos formatos de información: video, texto, multimedia y audio. Como señala José Antonio Madriz, consultor tecnológico de Oracle: "El objetivo de Oracle es ofrecer una plataforma completa para el desarrollo de comercio electrónico".

Una de las ventajas del Oracle 8i es el Internet File System que facilita el manejo de la información y crea un nuevo concepto de archivos al mantener e integrar los directorios existentes del usuario. Coman esto se concemantra toda la data en una sola base de datos, y el respaldo y la administración se hacen más fáciles.

Adicionalmente, incluye el Application Server que permite el desarrollo de aplicaciones y la personalización del site por parte de los usuarios. igualmente, el Internet Commerce Server que facilita las ventas business to business y busimaness to consumer, creación de tiendas, sistemas de integración de pago a través de CyberCash y protocolos de seguridad.

Se estima que en seis meses está completa la instalación de la plataforma de Oracle. El costo dependerá de las necesidades del site. Sin embargo, debemos ser consientes que inicialmente se necesita una alta inversión.

1.4 LAS BARRERAS PARA EL COMERCIO ELECTRÓNICO

A pesar de las enormes posibilidades ofrecidas por el comercio electrónico, este está teniendo un arranque desigual y, en muchos ámbitos, más lento de lo esperado, lo que ha hecho que este fenómeno haya sido estudiado bajo muy diferentes puntos de vista. No obstante es muy frecuente encontrar resultados similares.

La seguridad aparece como principal barrera, si bien en ella influye más la falta de garantías que aspectos concretos de ella, como el fraude o la delincuencia, para los que si existen instrumentos de protección.

El comercio electrónico exige la creación de un marco legal estable mediante la actualización de aspectos múltiples de la legislación y la regulación, como lo es necesario en las áreas de la seguridad y legalidad del propio comercio, la fiscalidad, los medios de pagos remotos y la propiedad intelectual y el nombre de los dominios.

La complejidad tecnológica es un factor que actúa tanto a la hora de iniciarse como tras la implantación del comercio electrónico en la empresa. Este aspecto tiene una doble repercusión; por un lado el de los costes incurridos en la inversiones iniciales y en equipamiento y, por otro, el perfil de formación generalmente escaso o inexistente las empresas.

Las comunicaciones están actuando también como una barrera de entrada, dado que en la actualidad tienen un costo que es considerado elevado por las PYMES y, además, tienen unas prestaciones y calidad del servicio que deben mejorar.

La siguiente figura muestra la percepción de los empresarios acerca de los factores inhibidores señalados y de su evolución, y donde aparece como factor más relevante el de la seguridad.

1.4.1 Incentivos para el comercio electrónico

1.4.1.1 Las ventajas:

El comercio electrónico con respecto al comercio tradicional, ofrece a las empresas notables ventajas relacionadas con el propio comercio y las mercancías:

• Adquirir un canal de comunicación y publicidad de alcance masivo.
• Conseguir una forma de acceso a los evitando a sus intermediarios actuales.
• Establecer empresas virtuales o virtualizar las existentes.
• Vender y prestar servicios, como asesoramiento, relaciones postventas, etc.
• Sustituir las actuales mercancías por su equivalente digital.
• Una mayor tecnificación de la empresa.
• Nuevas y más estrechas relaciones entre cliente y proveedor. Además de otro sin número de efectos colaterales.

1.4.1.2 Las motivaciones:

Además de las ventajas antes mencionadas del comercio electrónico, el comerciante puede verse presionado para iniciarse en el comercio electrónico por otras causas, como:

• La oportunidad de adelantarse a sus competidores, lo que se produce cuando una empresa es pionera en algún campo de una actividad comercial.
• La presión competitiva, que se produce cuando una gran parte de sus competidores realizan comercio electrónico.
• La presión de la demanda, cuando una gran parte de su potenciales compradores compran a través de Internet.

Estos tres incentivos actúa generalmente de forma secuencial pero su aparición puede variar según los distintos campos del comercio. La Tabla A expone algunos de los campos según su momento de adopción del comercio electrónico.

CATEGORIAS ADOPCION TEMPRANA ADOPCION TARDIA

Comercio entre empresas	Bienes duraderos   Mayorismo	Servicios (salud, asesorías, consultores) Transporte Transacciones
Comercio de consumidores	Viajes Informática Libros	Vivienda Alimentación y bebidas

Tabla A.

Algunos productos son más indicados para su distribución y venta a través de Internet. En general, en el mercado orientado al consumidor, ha registrado mayor éxito:

• Mercancías que no necesitan ser probadas por el consumidor
• Artículos de consumo general, como equipos de alta fidelidad, ordenadores, etc.
• Productos con una relación precio volumen grande como los CD de música, productos informativos, etc.
• Intangibles como información, noticias, reservas, etc.

En todo caso el desarrollo exitoso del comercio electrónico esta estrechamente ligado con el desarrollo de Internet, cuya implantación estará estabilizada totalmente entre los años 2002 a 2005.

1.5 REPERCUSIONES SOBRE LOS MERCADOS

·         Globalización. El comerciante se lanza a la arena del comercio electrónico disfrutará de una presencia global en el mercado. Su campo de acción no se verá limitado por distancias ni por área de actividad.

·         Formación de precios. El mercado por Internet permite a los consumidores explorar mejor el mercado y sus precios, lo que supone en un principio una evolución a una competencia más perfecta. De hecho algunos de los intermediarios se dedican a una exploración de precios de un determinado producto.

·         Reducción de costos. el comercio electrónico supone un acortamiento en el ciclo de compra y sustitución o eliminación de sus tradicionales intermediarios, lo que permite un considerable reducción en los costos, tal como lo muestra en la Tabla B.

	Billetes de avión	Servicios bancarios	Pagaos de facturas	Distribución de software
Procedimiento tradicional	8	1.08	2.22 a 2.32	15
Por teléfono	0.54		5
Por Internet	0.13	0.65 a 1.10	0.2 a 0.5	71 a 77
Ahorros % (tradicional / Internet)		87	89	97 a 99

 

Tabla B.

• Mejora de la calidad del servicio. La proximidad al consumidor y el acortamiento del ciclo de compra son mejoras visibles de la calidad del servicio. La empresa o comercio, mediante Internet, está en mejor posición de ofrecer información a sus clientes tanto en servicios de preventa como de postventa. Además de la creación de una relación mas estrecha entre el cliente y el proveedor que se ha venido a llamarse de uno a uno.

6. REPERCUSIONES EN LA ORGANIZACIÓN DEL COMERCIO

• Nueva cadena de valor. El comercio electrónico altera severamente la cadena de valor del comercio. La cadena tradicional, constituida por mayoristas, minoristas, distribuidores, etc. toma nueva forma. Se reduce gran parte de los intermediarios, llegando así a organizaciones de mediación más plana y aparece en muchos casos la venta directa.
• Nuevos flujos de dinero. El nuevo comercio proporciona la aparición simultanea de métodos mejorados de los actuales medios de pago y medios de pago por Internet, destacándose el dinero electrónico y los medio sugeridos por la banca electrónica.
• Cambios en los stocks. El comercio electrónico cambia también el concepto tradicional de los stocks, las nuevas mercancías, como información, música y otros contenidos similares pueden ser "digitalizados". En los casos de mercancías físicas, no están poco necesario la presencia física de estos en la empresa, por que pueden ser almacenados cerca de sus lugares de producción o consumo, minimizando los costos lógicos.

1.7 LAS CLAVES DEL DESARROLLO

1.7.1 Factores de éxito:

El éxito empresarial en el comercio electrónico tiene como bases principales:

• El desarrollo de Internet y el comercio electrónico en la sociedad como propulsores de la demanda.
• La incorporación efectiva de empresas logística al comercio electrónico.
• El acierto empresarial para acomodar su oferta a la demanda o para la creación de nuevos productos y servicios.
• La adecuación de la empresas al comercio y negocios a través de Internet.

 

El desarrollo del comercio electrónico está dependiente de factores diversos, sociales y económicos, como el desarrollo económico de la sociedad, el propio desarrollo de Internet, la formación de nuevos hábitos de compra y la eliminación de las barreras para el desarrollo del comercio electrónico.

Finalmente, las empresas han de adecuar su estructura y modos de operación a las necesidades impuestas por el comercio electrónico. Entre ellas debemos mencionar la adquisición de nuevas tecnologías, las políticas de empleo, los recursos productivos y la prestación de servicios.

1.7.2 Algunas cautelas:

La actividad comercial por Internet ofrece casos de grandes éxitos pero también fracasos rotundos, como el de Market-Place, subsidiaria del gigante de las comunicaciones MCI, que tuvo que cerrar sus puertas tras cuantiosas perdidas. Y es que el comercio electrónico suele exigir a la empresa un compromiso fuerte con la tecnología y las inversiones requeridas.

Algunos negocios han fracasado por salir al mercado antes de tiempo o no disponer de los recursos necesarios. Por ello, hay muchos expertos que creen que el comercio electrónico es un mercado en proceso de maduración ante él cual se debe mantener las debidas cautelas.

1.8 NUEVAS REGLAS DEL COMERCIO ELECTRÓNICO

El comercio electrónico está propiciando la aparición de nuevas reglas de comportamiento que suponen un gran cambio de actitudes y estrategias con respecto a las tradicionales, algo que se hace muy evidente cuando se trata de los nuevos comerciantes y las nuevas mercancías, como aplicaciones informáticas o servicios de información.

Estos nuevos comportamientos hacen que la presencia de una empresa en Internet no siga siempre criterios de pura rentabilidad. En la figura 1.1 se puede observar las expectativas empresariales en Estados Unidos, donde se puede ver que por lo general se esperan beneficios a largo plazo.

1.8.1 Principales modelos de e-commerce

El modelo inicial y más sencillo es el de la Tienda Virtual, que puede ser constituido por el propio comerciante, y que consiste, en su forma más simple, en hacer presencia en la Web a través de paginas web mostrando la gama de productos de la empresa. Este modelo se simplifica aún más cuando el comerciante arrienda un dominio en cualquier servidor de Internet, por que no necesita desplegar recursos propios.

La Galería Comercial (Mall) está constituida por un conjunto de tiendas que aparecen en un dominio común y bajo la cobertura de un nombre comercialmente conocido. Está formula permite a las tiendas compartir gastos de explotación y obtener otras economías de escala al delegar en el gestor de la galería algunas de las tareas de explotación.

Según van integrando tareas, pueden llegar a formarse Mercados gestionados por terceros, una evolución del modelo anterior en donde la galería toma mayores responsabilidades, como promoción, pagos, creación de catálogos e interfaces con el usuario que sean más atractivas, etc. Este es un campo adecuado para las iniciativas de los proveedores de servicios de Internet.

Una variante más evolucionada es la formada por los Suministradores de la cadena de valor, donde se integran otras tareas no meramente electrónicas, como la distribución y la logística. A esta modalidad se están integrando las grandes empresas de mensajería como Federal Express o DHL. Los llamados Informediarios(intermediarios de la información como portales, buscadores, canales, agentes, etc.), han de jugar un papel cada vez más importante, por que ellos van hacer lo verdaderos organizadores de la información en Internet y por lo tanto del comercio electrónico.

Las Terceras partes de Confianza, mediadores en temas relacionados con la seguridad y las garantías en el comercio electrónico, ya han comenzado su actividad en diversos países, y registraran un impulso aun mayor una vez se vayan adaptando a los nuevos marcos legislativos y adquiriendo un mayor peso legal estas organizaciones. Otros mediadores especializados están surgiendo en los campos de las Licitaciones y Subastas, que pueden ser utilizados tanto por las empresas como por los consumidores como por la organizaciones de las administraciones del estado.

Las Comunidades Virtuales, han conseguido grandes éxitos al reunir grupos de productores y de consumidores en un ámbito común. Es un claro ejemplo de este modelo www.amazon.com, una librería virtual que vende en los cinco continentes a precios competitivos, basados en un stock ceros y en la automatización y optimización de los diferentes procesos de consulta, venta y, por supuesto, distribución.

Para venta de servicios especializados se han creado las llamadas Plataformas de Colaboración, en donde colectivos unidos por problemas e intereses comunes se prestan mutuamente servicios de asesoramiento o difusión de técnicas, y donde los servicios son pagados en forma de contra prestación de servicios.

En la figura 1.2 podemos observar lo Modelos de Relaciones Comerciales en Internet.

1.8.2 Categorías del e-commerce

El comercio electrónico tiene como principales actores comerciante y empresas, consumidores y administraciones públicas, lo que da lugar a las siguientes categorías:

 

• Empresa – Consumidor
• Empresa – Empresa
• Administración – Empresa / ciudadano

 

En la Tabla C podrán observar los porcentajes estimados que manejan estas categorías.

	Empresa – Consumidor	Empresa - Empresa
N° de operaciones	80%	20%
Volumen de negocios	20%	80%

Tabla C.

El comercio entre la empresa y el consumidor nace, en términos practico, con Internet, y es en la actualidad el que recibe mayor flujo de soluciones tecnológicas, a pesar de su aún reducido volumen como se puede observar en la Tabla C. A diferencia de este comercio, el comercio entre empresas tiene ya más de dos décadas, pero durante un tiempo solo estuvo al alcance de los grandes sectores industriales y financieros.

Por otra parte, los consumidores del e-commerce ya han expresado con claridad los factores considerados más incentivadotes del comercio, como lo son rapidez y costos competitivos. La figura 1.3 muestra los resultados de una encuesta sobre los aspectos más valorados por los consumidores.

1.9 EL MARKETING EN LA ERA DE INTERNET

Desde el punto de vista del consumidor, el márketing en Internet presenta dos grandes novedades: un mayor grado de libertad de elección y la eliminación por completo de las barreras de las distancias.

La tecnología Internet también beneficia a los comerciantes, por que les permite unos procedimientos de comercialización con características únicas, de las que no disfrutaban los medios alternativos:

• Presencia global en el mercado, sin penalización de las distancias geográficas
• Medios de información y de comercialización más baratos que los tradicionales
• Medios para la evaluación de la eficacia de sus métodos y de sus campañas de asequibles
• Adaptación de los contenidos de sus campañas a cada cliente, por lo que Internet, más que un medio de comunicación de masa, debe considerarse una herramienta de márketing personalizado.

 

1.9.1 Nuevas relaciones

Internet permite el acercamiento de la empresa al consumidor, con lo que trata de establecer nuevas relaciones. Las líneas generales de necesidad que han seguido los comercios y negocios en Internet que han reportado mayores éxitos son:

• Interactuar de forma directa con los clientes, facilitando él dialogo entre las partes interesadas
• Proporcionar las relaciones y necesidades entre sus propios clientes, por que a partir de ahí el comerciante puede obtener necesidades valiosa del mercado
• Proporcionar servicios añadidos no comerciales, como asistencia técnica, necesidades general, etc.
• Detección inmediata de las necesidades del mercado
• Respuesta rápida a las demandas, consultas, pedidos, etc., de los consumidores.

 

1.9.2 Los instrumentos del márketing

1.9.2.1 Componentes

No se requieren instrumentos especiales, sino la utilización de los dispositivos genéricos de Internet para las tareas de márketing, y que es lo que permite una forma de hacer márketing a costos reducidos.

·         Paginas Web, constituyen la herramienta principal del márketing. En ellas se pone la información empresarial, y supone el primer contacto de los potenciales clientes con la empresa o comercio. Por ello se requiere que estas páginas estén debidamente diseñadas de forma que transmitan la información necesaria, sin que estas estén recargadas de un contenido excesivo, lo que haría la descarga de la página lenta y fastidiosa.

·         Las paginas web contiene en sí misma nuevas herramientas. Banners (banderolas), enlaces y cookies; los cuales son dispositivos que facilitan la navegación por Internet, conducen al usuario hacia las páginas del comercio y permiten al comerciante obtener información del cliente.

·         FTP (Protocolo de Transferencia de Archivos), esta herramienta permite acceder a infraestructuras informáticas remotas y obtener de ellas la información necesaria. Son particularmente útiles en los sitios que ofrecen acceso a personas anónimas, usuarios que no estén obligados a registrarse o identificarse, así el comerciante podrá facilitar información de los productos y / o servicios que este ofreciendo al posible cliente.

·         Correo Electrónico, el correo electrónico no solo sirve para optimizar los procedimientos de comunicación, ya que ofrece mejores prestaciones y reduce los costos de correo. , Si no que posibilita lo que ha venido a llamarse márketing de base de datos, permitiendo él envió de información de una forma selectiva de acuerdo al perfil del cliente. Así, por ejemplo, amazon.com, mantiene en su nodo tablones de noticias con novedades editoriales, realiza criticas de libros, etc., pero además también posibilita a los clientes intercambiar puntos de vistas sobre los libros.

1.9.3 Modelos y formas del márketing en internet

Son muchos los modelos de márketing utilizados para promocionar productos y servicios a través de Internet, pero los más comunes son:

• El modelo interactivo y los "portales"
• El modelo de difusión y los "canales"
• Agentes y brokers.

Pero el modelo y la forma que realmente nos interesa es el modelo interactivo y los "portales", este modelo conocido como interactivo, o según su termino en ingles pull, tiene grandes ventajas, como la de mantener al usuario con una actitud receptiva de la información que el comerciante desea entregarle.

Según este dispositivo el comerciante esta en la libertad de atraer a nuevos posibles clientes utilizando diversos métodos y / o estrategias. Pero, quizás la más utilizada para llegar a las páginas de un comercio electrónico es la búsqueda con la ayuda de organizaciones de mediación, como son los portales especializados en la búsqueda de temas específicos (buscadores) o los nodos de la red que en muchas ocasiones constituyen una puerta de acceso para el usuario.

Los directorios o buscadores mantienen una información estructurada, que permite la búsqueda sistemática de la información deseada. Los buscadores son dispositivos que al suminístrales una palabra o clave de búsqueda proporcionan direcciones de páginas en Internet relacionadas con el tema buscado.

Son un claro ejemplo de este tipo de portal, Yahoo, Altyavista o Lycos, que por lo general están asociados a grandes empresas informáticas y comunicaciones.

Vale la pena mencionar un poco a cerca de los agentes y brokers, que son la nueva tecnología que sé esta empezando a imponer como una alternativa al modelo pull.

los agentes y brokers, son un colectivo de mediadores independiente de vendedores y empresas, especializados por mercados y muy vinculados con sus clientes. Estos pueden realizar tareas variadísimas, tantas como pueda necesitar el mercado, desde la búsqueda de artículos por precios hasta analizadores de calidad. En la Tabla D, se muestra una gama de posibles servicios de los agentes y brokers.

Funciones de los Agentes y Brokers

Cambiar la palabra marcada Escriba la nueva palabra en Cambiar Cambiar la palabra marcada Haga clic en la sugerencia deseada Servicios a productores y usuarios Búsqueda de información Selección de contenidos en la red Búsqueda de productos Búsqueda de costos Información sobre los productos Información de productores Análisis de calidad Evaluación de usuarios Cobertura de riesgos Impagados Responsabilidades Seguros Servicios postventas Seguimiento de incidencias asesoramiento

Tabla D. Funciones de los Agentes y Brokers

El márketing por Internet aún utilizando herramientas tan avanzadas, también necesita de practicas del márketing convencional, el comerciante debe recurrir a acciones tales come la creación de imagen de marca, ventas promociónales, relaciones públicas, prospección de mercado, etc., además no debe olvidar los medios de difusión tradicionales como lo son: el periódico, la radio, etc.

2. SEGURIDAD Y GARANTÍAS DEL E-COMMERCE.

2.1 ¿ QUE HAY QUE PROTEGER EN INTERNET?

La seguridad de be ampara por igual equipos y contenidos, que puedan ser puestos en peligro tanto por acciones mal intencionadas como por fallo de los propios equipos.

Es por esto que la seguridad en el comercio electrónico debe proteger específicamente los siguientes aspectos:

 

1. seguridad física de los equipos individuales, que pueden verse comprometidos por acciones de vandalismo o calamidad natural.
2. Funcionalidad técnica de los sistemas informaticos, cuyo mayor riesgo es la perdida de información.
3. Protección de los contenidos, que pueden ser alterados o mal utilizados como resultado de la intervención de personas mal intencionadas desde cualquier punto de la red.

2.2 RECURSOS TECNOLÓGICOS DE PROTECCIÓN

·         La protección física de lo equipos, son las comunes a todos los equipos informáticos, y los medios son los sistemas de vigilancia, control de acceso, prevención de accidentes, etc.

• La protección de la funcionalidad (Virus y Caballos de Troya), la presencia de piratas informaticos (hackers y crackers) en la red y la propia deficiencia de algunos programas usados para el comercio electrónico, abren diariamente nuevas vías de entrada a los elementos que pueden comprometer la seguridad de los contenidos informaticos (información de los clientes).

La gravedad de los virus es variable, desde los que solo viven en el ordenador de forma parásita hasta los que pueden alterar y destruir toda la información almacenada en él. Pero tal vez la mayor amenaza la representan los llamados caballos de Troya, que son programas piratas que le permiten al troyano (pirata informatico), recoger la información que este desee como lo son: códigos de acceso, números de tarjetas de crédito, correos electrónicos, etc., antes de que estos datos puedan ser protegidos.

·         Protección de los entornos, se basa en el principio de que es posible delimitar áreas de Internet dentro de las cuales el entorno es seguro, los accesos están controlados y las personas son fiables.

Para ello se utilizan soluciones que reciben los nombres de Extranet e Intranet, en las cuales se dispone de unos recursos – routers y firewall -, que realizan tareas de vigilancia y control de acceso en bloque y donde cuyas tareas de protección se basan en el perfil y privilegios asignados al usuario. El objetivo de este tipo de solución es proporcionar un espacio de relación seguro, facilitando la comunicación con acceso a la información empresarial deseada de forma selectiva y controlada. Esto lo podemos ver resumido en la Tabla E.

	Internet	Intranet	Extranet
Acceso	Público	Privado	Semi-privado
Usuario	Usuarios de Internet	Usuarios de empresas	Usuarios autorizados de empresas colaboradoras
Información	Fragmentada	Propiedad de la empresa	Compartida con empresas colaboradoras

 

Tabla E. Internet – Intranet – Extranet.

También existen las llamadas Redes Privadas Virtuales, que pueden ser implantadas mediante multitud de tecnologías de comunicaciones, pero las máximas ventajas funcionales y de costos se obtienen utilizando Internet.

Las Redes Privadas Virtuales suponen en la mayoría de los casos la integración de tecnologías de Intranet y Extranet con la protección de los mensajes mediante técnicas criptográficas. Así routers y firewall protegen el acceso a la red privada al tiempo que las técnicas criptográficas construyen un túnel que lleve comunicaciones cifradas a través de Internet y a la cual solo puede tener acceso personas autorizadas.

·         Protección de los mensajes y comunicaciones, esta se hace basándose en una serie de técnicas que se han venido desarrollando durante los últimos tiempos, técnicas como:

2.2.1 La Encriptación:

• Historia de la encriptación

La criptografía está antigua como la escritura. Desde que el homo sapiens inició su recorrido sobre este planeta, ha necesitado comunicarse con sus semejantes, pero en ocasiones no quiere que otros se enteren. Las razones son evidentes, ya que a ninguno le gustaría que el enemigo conociera su estrategia si lograse interceptar un mensaje.

Se dice que las primeras civilizaciones que usaron la criptografía fueron la Egipcia, la Mesopotámica, la India y la China. Los espartanos, 400 años antes de Cristo, utilizaban un sistema secreto de escritura, el cual consistía en un cilindro al cual se colocaba un papiro en forma de espiral. Se escribía entonces el texto en cada una de las vueltas del papiro, pero de arriba hacia abajo. Una vez desenrollado, sólo se podía leer una serie de letras aparentemente inconexas. Para descifrar el mensaje era necesario colocar el papiro exactamente en la misma posición en la que había sido escrito.

Antiguos textos judíos fueron encriptados siguiendo el método de sustituir la primera letra del alfabeto por la última y así sucesivamente. En la Biblia (Jeremías 25:26) el nombre de Babilonia aparece encriptado como "Sheshech".

Pero a quien se atribuye el primer método de encriptado con su debida documentación es al general romano Julio César, quien creó un sistema simple de sustitución de letras, que consistía en escribir el documento codificado con la tercera letra que siguiera a la que realmente correspondía. La A era sustituida por la D, la B por la E y así sucesivamente. En la Edad Media el uso de la escritura codificada se incrementó.

Un libro de astronomía escrito en 1390 y atribuido a Geoffrey Chaucer contiene trozos cifrados.

En 1470, León Battista Alberti publica "Tratado de cifras" en donde describe una cifra capaz de encriptar un pequeño código.

No obstante se considera al abate Johannes Trithemius es el padre de la criptografía moderna. Este religioso escribió en 1530 "Poligrafía", el primer libro impreso sobre el tema. Trithemius introdujo el concepto de tabla ajustada, en el cual el alfabeto normal es permutado para codificar los mensajes. Son legendarios los mapas de tesoro escondidos durante los siglos XVII y XVIIII.

En ellos los piratas supuestamente encriptaban la localización de enormes tesoros, basándose principalmente en métodos de sustitución de alfabeto.

El principal uso de la criptografía en la era moderna ha sido militar. En 1917, por ejemplo, el servicio de Inteligencia Naval de Inglaterra entregó a los Estados Unidos un mensaje que había sido enviado al embajador alemán en Ciudad de México por el     gobierno germano. En el mismo se autorizaba al diplomático a negociar un acuerdo con México para entrar a favor de Alemania en la Primera Guerra Mundial. A cambio, los mexicanos recibirían los territorios de Nuevo México, Arizona y Texas, en el caso de     que resultasen vencedores.

El texto -conocido como el telegrama Zimmermann impulsó a los norteamericanos a participar en esa guerra contra Alemania.

Los códigos de la máquina Enigma, usada por los mismos alemanes durante la Segunda Guerra, fueron rotos por los analistas norteamericanos, al igual que los códigos usados por los japoneses.

Y ahora que la informática se ha apoderado de los hogares, como no, se han de introducir sistemas que sean seguros para realizar operaciones. La intimidad es un derecho constitucional del individuo, que con los medios de comunicación tradicionales, como el correo postal, correo certificado, los apartados de correo, etc., están más que garantizados.

En cambio, con el uso generalizado de los sistemas de comunicación electrónicos, la intimidad y el anonimato de las personas resultan crecientemente amenazadas, de hecho no hay seguridad alguna en caso de no utilizar algún tipo de medio para preservar esta intimidad de agentes externos.

Cada vez que alguien utiliza el correo electrónico, navega por la Web, interviene en foros de conversación, participa en los grupos de noticias de Usenet, o hace uso de un servidor de FTP, está revelando datos sensibles acerca de su personalidad, economía, gustos, hábitos sociales, residencia, etc., que pueden ser maliciosamente recolectados y utilizados por terceros, en perjuicio del usuario inocente.

La mayoría de los usuarios no es consciente de la cantidad de información privada que, de forma inadvertida e involuntaria, está revelando a terceros, al hacer uso de Internet.

Cada vez que se visita un sitio Web, se suministra de forma rutinaria una información que puede ser archivada por el administrador del sitio. A éste, no le resulta difícil averiguar la dirección de Internet de la máquina desde la que se está operando, la dirección de correo electrónico del usuario, qué páginas lee y cuáles no, qué figuras mira, cuántas páginas ha visitado, cuál fue el sitio recientemente visitado  y también qué sistema operativo y qué navegador usa.

Toda esta clase de información que el usuario va dejando por Internet puede ser usado por otros usuarios maliciosamente, como enviando correo basura (junk-mail o spam), que puede atiborrar nuestro buzón de correo, empleado por marcas comerciales sin escrúpulos o por aficionados para promocionar indiscriminadamente sus productos por toda la red.

La suplantación del usuario, para enviar mensajes ofensivosen su nombre a terceros, que le pueden poner en una situación incómoda; el marketing personalizado, que explota información que los usuarios van revelando inadvertidamente a medida que navega por la Red sobre sus gustos y preferencias, etc.

Quizás lo que los usuarios si toman mas en cuenta son los ataques a la confidencialidad, autenticidad e integridad del correo electrónico. Hoy día resulta sencillo hacer frente a estos ataques mediante los protocolos de comunicaciones basados en procedimientos criptográficos.

Otro tipo de inseguridad que actualmente ha saltado a las noticias, es el surgido por la captación de números de tarjetas bancarias que usuarios sin escrúpulos utilizan como si fueran ellos los poseedores de dichas tarjetas. Esto lo realizan porque en los sitios donde se piden el número de esta tarjeta no es un lugar seguro, y cualquier persona puede acceder a esos datos.
A efectos de este documento, entendemos por comercio electrónico, todas las transacciones comerciales realizadas a través de Internet en las que intervengan personas físicas.

Rastro del dinero electrónico.

Sin duda, una de las formas que tiene un individuo de preservar su intimidad en el comercio tradicional, es comprar los bienes o servicios que desee con dinero en efectivo.

Esta forma de pago, evita que el vendedor necesite, en modo alguno, conocer la identidad del comprador. Sin embargo, en las compras a través de Internet, normalmente debemos suministrar nuestros datos personales (nombre, dirección, etc.) junto con un número de tarjeta de crédito.

Al suministrar esta información estamos expuestos a que se vincule nuestra identidad con el tipo de bienes o servicios que adquirimos. Esta información puede ser alquilada o vendida por el proveedor a otras compañías que se dediquen, por ejemplo, a la publicidad directa. Sin embargo, existen sistemas que permiten realizar compras a través de Internet o de cualquier otra red de comunicaciones de forma anónima, tal y como funciona el dinero de papel en el pago al contado. Tales sistemas se engloban bajo el nombre de "dinero o monedero electrónico" (digital cash/electronic wallet).

Recomendación: 

En la medida en que lo estime conveniente, utilice sistemas de dinero electrónico que preserven el anonimato de sus compras en Internet.

Inseguridad en las transacciones electrónicas.

Otra de las preocupaciones del usuario de Internet cuando realiza transacciones comerciales no anónimas, es asegurarse de que los datos que suministra en la transacción, por ejemplo, su nombre, dirección, número de tarjeta de crédito, etc., no son capturados en la transmisión por alguien distinto del proveedor con el que quiere realizar la transacción, y que posteriormente, pudiera suplantar su identidad.

Por otro lado, el proveedor o vendedor debe asegurarse de que quien efectúa el pedido o la orden de compra es verdaderamente quien dice ser, ya sea el consumidor final o un intermediario.

Las características que definen a un sistema de transacciones seguras son:

• Garantizar, mediante el cifrado, la confidencialidad de las transacciones comerciales electrónicas, de manera que los datos contenidos en dichas transacciones sólo sean accesibles a las partes que intervienen.
• Garantizar, mediante el uso de firmas digitales, la integridad de las transacciones, de tal manera que su contenido no pueda ser alterado por terceros ajenos, sin ser descubiertos.
• Garantizar, mediante el uso de la firma digital y la certificación, la autenticidad tanto del titular del medio de pago, como del proveedor. La firma digital garantiza la integridad de la transacción. La certificación por parte de un tercero (notario electrónico) garantiza la identidad de las partes que intervienen en la transacción.

Recomendación: 

No realice transacciones comerciales electrónicas a través de proveedores con sistemas "inseguros" o no fiables.

Su navegador es capaz de reconocer cuándo se conecta a un servidor que admite transacciones seguras. Consulte el manual de su navegador para averiguar cómo informa de la conexión a un servidor Web seguro.

Envío de publicidad no solicitada a través del correo electrónico.

Esta forma de publicidad requiere, lógicamente, el conocimiento de la dirección de correo electrónico del receptor del mensaje.

Adicionalmente, una dirección de correo electrónico puede tener asociada información de carácter personal, tal como la organización donde trabaja o a la que pertenece una persona, lo que puede ser de gran interés para una empresa que se dedique a la publicidad directa.

Las formas más habituales de obtener direcciones de correo sin el conocimiento del usuario son:

Listas de distribución y grupos de news

Captura de direcciones en directorios de correo electrónico.

Venta, alquiler o intercambio de direcciones de correo por parte de los proveedores de acceso.

Entrega de la dirección de correo, por parte de los programas navegadores, al conectar a los servidores Web.

Recepción de mensajes de correo requiriendo contestación a una dirección determinada y pidiendo la máxima difusión de los mismos.

Recomendación: 

• Cuando incluya su dirección de correo electrónico en un directorio o lista de distribución, considere la posibilidad de que la misma pueda ser recogida por terceros para enviarle mensajes no deseados.
• Averigüe la política de alquiler, venta o intercambio de datos que han adoptado tanto su proveedor de acceso a Internet como los administradores de los directorios y listas de distribución donde esté incluido.
• Si no quiere publicar su dirección de correo electrónico, configure su navegador para que no deje su dirección de correo en los servidores Web a los que accede.

Elaboración de perfiles.

En Internet, el comportamiento del consumidor puede ser "observado" por el proveedor, el cual, puede acumular información personal sobre gustos, preferencias y comportamiento del mismo, sin que éste tenga conocimiento de ello.

Este acopio de datos se realiza registrando la información sobre los servidores Web a los que accede un usuario, en qué páginas se detiene más tiempo, y qué temas busca de manera habitual. De esta forma es posible realizar un perfil del usuario muy completo sin su conocimiento.

Existen medios para evitar recogidas de datos personales, y entre ellos, quizá uno de los que más éxito está teniendo entre los usuarios es el uso de servidores que permiten navegar por Internet de forma anónima. El sistema consiste en que el usuario accede en primer lugar a un servidor especializado en este cometido, que le proporciona una identidad nueva a través de la cual puede acceder a otros servidores.

De esta forma, los servidores Web a los que se accede no podrán obtener la auténtica identidad del usuario.

Recomendación: 

Cuando navegue por Internet, sea consciente de que los servidores Web que visita pueden registrar tanto las páginas a las que accede como la frecuencia y los temas o materias por las que busca, aunque no le informen de ello. En el caso de que no desee dejar constancia de sus actividades, utilice servidores que preserven el anonimato.

2.2.2 Mecanismos de seguridad

No existe un único mecanismo capaz de proveer todos los servicios anteriormente citados, pero la mayoría de ellos hacen uso de técnicas criptográficas basadas en el cifrado de la información. Los más importantes son los siguientes:

Intercambio de autenticación: corrobora que una entidad, ya sea origen o destino de la información, es la deseada, por ejemplo, A envía un número aleatorio cifrado con la clave pública de B, B lo descifra con su clave privada y se lo reenvía a A, demostrando así que es quien pretende ser. Por supuesto, hay que ser cuidadoso a la hora de diseñar estos protocolos, ya que existen ataques para desbaratarlos.

Cifrado: garantiza que la información no es inteligible para individuos, entidades o procesos no autorizados (confidencialidad). Consiste en transformar un texto en claro mediante un proceso de cifrado en un texto cifrado, gracias a una información secreta o clave de cifrado. Cuando se emplea la misma clave en las operaciones de cifrado y descifrado, se dice que el criptosistema es simétrico. Estos sistemas son mucho más rápidos que los de clave pública, resultando apropiados para funciones de cifrado de grandes volúmenes de datos. Se pueden dividir en dos categorías: cifradores de bloque, que cifran los datos en bloques de tamaño fijo (típicamente bloques de 64 bits), y cifradores en flujo, que trabajan sobre flujos continuos de bits. Cuando se utiliza una pareja de claves para separar los procesos de cifrado y descifrado, se dice que el criptosistema es asimétrico o de clave pública. Una clave, la privada, se mantiene secreta, mientras que la segunda clave, la pública, puede ser conocida por todos. De forma general, las claves públicas se utilizan para cifrar y las privadas, para descifrar. El sistema tiene la propiedad de que a partir del conocimiento de la clave pública no es posible determinar la clave privada. Los criptosistemas de clave pública, aunque más lentos que los simétricos, resultan adecuados para las funciones de autenticación, distribución de claves y firmas digitales.

• Integridad de datos: este mecanismo implica el cifrado de una cadena comprimida de datos a transmitir, llamada generalmente valor de comprobación de integridad (Integrity Check Value o ICV). Este mensaje se envía al receptor junto con los datos ordinarios. El receptor repite la compresión y el cifrado posterior de los datos y compara el resultado obtenido con el que le llega, para verificar que los datos no han sido modificados.
• Firma digital: este mecanismo implica el cifrado, por medio de la clave secreta del emisor, de una cadena comprimida de datos que se va a transferir. La firma digital se envía junto con los datos ordinarios. Este mensaje se procesa en el receptor, para verificar su integridad. Juega un papel esencial en el servicio de no repudio.
• Control de acceso: esfuerzo para que sólo aquellos usuarios autorizados accedan a los recursos del sistema o a la red, como por ejemplo mediante las contraseñas de acceso.
• Tráfico de relleno: consiste en enviar tráfico espurio junto con los datos válidos para que el atacante no sepa si se está enviando información, ni qué cantidad de datos útiles se está transmitiendo.
• Control de encaminamiento: permite enviar determinada información por determinadas zonas consideradas clasificadas. Asimismo posibilita solicitar otras rutas, en caso que se detecten persistentes violaciones de integridad en una ruta determinada.
• Unicidad: consiste en añadir a los datos un número de secuencia, la fecha y hora, un número aleatorio, o alguna combinación de los anteriores, que se incluyen en la firma digital o integridad de datos. De esta forma se evitan amenazas como la reactuación o resecuenciación de mensajes.

Los mecanismos básicos pueden agruparse de varias formas para proporcionar los servicios previamente mencionados. Conviene resaltar que los mecanismos poseen tres componentes principales:

• Una información secreta, como claves y contraseñas, conocidas por las entidades autorizadas.
• Un conjunto de algoritmos, para llevar a cabo el cifrado, descifrado, hash y generación de números aleatorios.
• Un conjunto de procedimientos, que definen cómo se usarán los algoritmos, quién envía qué a quién y cuándo.

Asimismo es importante notar que los sistemas de seguridad requieren una gestión de seguridad. La gestión comprende dos campos bien amplios:

• Seguridad en la generación, localización y distribución de la información secreta, de modo que sólo pueda ser accedida por aquellas entidades autorizadas.
• La política de los servicios y mecanismos de seguridad para detectar infracciones de seguridad y emprender acciones correctivas.

2.2.2.1 Criptología

Se entiende por criptología el estudio y práctica de los sistemas de cifrado destinados a ocultar el contenido de mensajes enviados entre dos partes: emisor y receptor.

La criptografía es la parte de la criptología que estudia como cifrar efectivamente los mensajes.

Esto que así dicho parece no revestir mayor importancia, se ha convertido en pieza clave de un debate que ha desbordado muchos foros restringidos, hasta configurarse como uno de los focos de mayor atención de la mayoría de los gobiernos del planeta: En algunos países está directamente prohibido el uso de encriptación de mensajes (como Francia o China, por ejemplo), en otros como Estados Unidos está fuertemente controlado, impidiéndose la exportación de programas encriptadores al considerarse por el Acta de Control de Exportación de Armas (Arms Export Control Act) como incluida en su lista, junto a misiles, bombas y armamento diverso (¿?).

Hay muchos paises que, aunque en su territorio nacional permiten el uso de la criptología, desean que estos programas incluyan una puerta trasera (backdoor) o procedimiento parecido para poder intervenir el mensaje cuando así lo consideren oportuno: Es el caso del famoso chip de depósito de claves o Chip Clipper, para encriptar conversaciones telefónicas (los dos teléfonos participantes en una conversación deben tenerlo).

Todo esto nos lleva directamente al enfrentamiento privacidad en las comunicaciones-control gubernamental, lo que en términos orwellianos se denomina "el control del Gran Hermano" (aunque esta expresión se utiliza, también,  para denominar a esa especie de ojo vigilante, que presuntamente nos acecha continuamente y cuyo origen es indeterminado: Gobiernos, espias de distinto grado, fisgones o meros curiosos...).

Lo cual desemboca en la posible afectación de derechos fundamentales de las personas, como es el derecho a la Libertad de Expresión, que difícilmente se puede conseguir si cuando nos comunicamos con alguien no sabemos quien o quienes pueden realmente leer el mensaje, y el Derecho a la Privacidad.

Problema que se agrava en Internet, ya que los mensajes se pueden quedar en el ciberespacio por tiempo indefinido, sin tener nosotros siquiera consciencia de ello o de donde estará efectivamente copiada  o almacenada nuestra comunicación.

La cuestión es conseguir que aunque nuestros mensajes puedan ser interceptados, resulten totalmente ininteligibles. Y esto se consigue con la criptología.

No estamos ante un problema trivial: es de vital importancia para que se desarrolle el comercio seguro en Internet, para los grupos defensores de los Derechos Humanos o para las comunicaciones entre abogados y sus clientes, por indicar algunos de los cientos de ejemplos posibles.

La tendencia de los sistemas de clave simétrica, actualmente, es a utilizarlos poco o simplemente para cuestiones que no necesiten un alto grado de protección.

Los sistemas de clave asimétrica son los que se están imponiendo, ya que ofrecen un mayor grado de seguridad. Sobre todo porque no hace falta que la clave sea conocida nada más que por una persona. Ya se sabe que cuando un secreto se comparte, hay bastantes posibilidades para que deje de serlo.

Entre los programas encriptadores de esta segunda clase, el que se está configurando como un standard (por lo menos en cuanto a los usuarios corrientes) y goza de mayor popularidad es el PGP. Existe tanto en versiones gratuitas como comerciales.

En España no tenemos ningún problema al respecto, pero en muchos países la situación legal está todavía por definir.

La colisión de intereses que se produce es, por un lado el Derecho a la Intimidad y a la Privacidad, y por otro, el deseo de los Cuerpos de Seguridad de que no exista información  a la que no puedan tener acceso. Se promete interesante el debate en   muchos países, como el que hay actualmente abierto en Estados Unidos: Por un lado los defensores de la Privacidad, por otro, cifras como las que presenta el FBI (y eso que ellos no llevan a cabo la totalidad de las escuchas realizadas en los EE.UU.): Entre 1.985 y 1.994, las escuchas ordenadas judicialmente formaron parte de las pruebas que concluyeron en 14.648 sentencias, supusieron casi 600 millones de dólares en multas y más de 1.500 millones de dólares en recuperaciones y embargos ordenados por los jueces. Esto se imposibilitaría con el uso de encriptación fuerte

2.2.2.2 La criptografía en Internet.

¿ Por qué es importante la criptografía en Internet ? Pues porque básicamente toda la estructura del comercio electrónico dependerá de ella.

Recordemos que aunque actualmente los volúmenes de las transacciones en línea no supera los 500 millones de dólares por año las perspectivas más modestas apuestan a que esa cifra suba hasta los 22.000 millones de dólares para el final del milenio. Nicholas Negroponte, uno de los más reconocidos gurús de Internet, considera montos por cien mil millones de dólares.

Pero si, como todos sabemos Internet nació hace más de veinte años como una red militar, ¿por qué es insegura para transacciones comerciales ?, la razón, como la explican los mexicanos Daniel Germán y Alejandro López Ortiz en su artículo ¿ Es la red lo suficientemente confiable ?, es que "desde sus inicios se decidió que la seguridad de la información que se transmitía no era una prioridad, lo más valioso en ese momento era interconectar computadoras de forma tal que pudiera resistir fallas severas, posiblemente resultado de un ataque nuclear contra los Estados Unidos".

El protocolo principal por el cual se transmite la información que viaja por la red (TCP/IP, Transfer Control Protocol/Internet Protocol) no ha variado en su esencia desde la creación de Internet.

Esta información se divide en paquetes más pequeños a los cuales se les llaman datagramas. Estos datagramas son enviados por la red sin ningún orden específico. Así cuando enviamos un mensaje que contenga, por ejemplo, las letras ABCD, éste se dividirá en cuatro datagramas, cada uno con una letra.

Estos datagramas viajarán de modo independiente, para luego recomponerse en la computadora de destino, sin que el receptor final pueda saber qué ruta tomó cada uno de ellos. Sin embargo, ninguno de estos datagramas está encriptado y cualquiera que los tome en su recorrido puede leerlos sin problema.

Y aquí es donde entra la criptografía como aliada del comercio en línea. La idea es encontrar un sistema en donde los datos comerciales y financieros puedan viajar de un modo seguro por la red. A ese sistema se le ha llamado SET (Secure Electronic Transaction, Transacciones Electrónicas Seguras en español).

SET es un sistema de criptografía basado en el mecanismo de llave pública y en el cual participan las más importantes compañías de tarjetas de crédito a nivel mundial (Visa, Master Card y American Express) y varios colosos de la informática (Microsoft, IBM, Netscape, entre otros). SET cubre los tres principios básicos para asegurar el crecimiento del comercio en línea:

1. Que la información transmitida sea confidencial.
2. Transacciones que se lleven a cabo con total integridad, es decir sin pérdida de datos.
3. Autentificar a los tarjeta habientes y a los comerciantes.
4. En el SET participan cinco actores, cada uno con sus funciones bien definidas:
5. El emisor, que en este caso es la institución que entrega la llamada tarjeta de crédito electrónica. Suele ser un banco.

El tarjeta habiente, es la persona que dispone de la tarjeta electrónica para realizar transacciones

El comerciante, es el que dispone de un sitio Web para realizar ventas en línea. d) el pagador, es una institución que recibe del comerciante el certificado de pago (voucher) que certifica la transacción entre el comprador y el vendedor

La cámara de compensación o gateway, es una institución que se encarga de procesar el pago al comerciante y

La autoridad certificadora, que son instituciones encargadas de generar las llaves públicas y privadas de cada uno de los miembros del sistema.

Para realizar una transacción en línea se requiere del siguiente proceso:

Que el comprador tenga una tarjeta electrónica debidamente certificada por el banco emisor. Esta tarjeta contiene la identidad del usuario, su llave pública e información sobre su cuenta. Todos estos datos están encriptados en forma de un certificado que es único por cada tarjeta habiente.

1. Cuando decide realizar una compra, llena el formulario y lo firma usando su llave privada. A este pedido le adjunta su certificado. Luego genera una llave DES al azar con la que encripta todos estos datos. Luego necesita ubicar la llave pública del comerciante, que le servirá para encriptar la llave DES.
2. Así, el comerciante recibe dos mensajes encriptados: uno de una llave DES que él podrá descifrar pues fue generado con su llave pública y otro que contiene los datos del pedido, que decodificará usando la llave DES que desencriptó con su llave pública.
3. Posteriormente se sigue el mismo proceso, pero entre el comerciante y la cámara de compensación para completar la transacción.

Criptografía digital.

La aparición de la computadoras y su increíble capacidad de procesamiento hizo que la criptografía se hiciera digital. En 1976, IBM desarrollo un sistema criptográfico denominado DES (Data Encryption Standard), que luego fue aprobado por la Oficina de Estandarización de los Estados Unidos.

DES se basa en complicados sistemas matemáticos de sustitución y transposición, los cuales hacen que sea particularmente difícil de romper. Sin embargo, DES depende de que tanto el que envía el mensaje como el que lo recibe conozcan la clave con la cual fue encriptada y en este sentido se parece al sistema usado por los espartanos, que necesitaban tener el cilindro con el cual se había codificado el texto para poder leerlo.

En el caso de DES al "cilindro" se le denomina "llave". La seguridad de esta llave va a depender de su tamaño. Cuando tenemos un mensaje cifrado hay un número "n" de posibilidades de descubrir la llave con la cual se encriptó. Así, la confiabilidad de una llave depende de que ese número "n" sea tan alto que a un atacante le tome demasiado tiempo probar todas las posibilidades.

Una llave de 56 bits es actualmente el estándar en DES. Para leer un mensaje cifrado con DES es necesario usar la misma llave con la cual se encriptó, lo cual lo hace poco práctico e inseguro en el caso de transacciones comerciales virtuales, porque la propia llave debería transmitirse por medios electrónicos.

Para resolver este problema se creó la criptografía de llave pública. Bajo este sistema existen dos llaves: una privada y otra pública. Cuando A quiere enviar un mensaje a B, le solicita su llave pública (que como su nombre lo indica puede ser conocida por todo el mundo).

Con la llave pública A encripta el mensaje y lo envía a B, que luego procede a descifrarlo aplicándole su llave privada, que no debe dar a conocer a nadie.

La ventaja de este método es que no requiere que ambas partes conozcan la llave privada.

Las implementaciones más conocidas de la criptografía de llave pública es el RSA y PGP. En 1977, Rivest, Shamir y Adelman desarrollaron RSA y publicaron el algoritmo de encriptación, a pesar de la oposición del gobierno norteamericano, que considera la criptografía un asunto de estado.

Más tarde la patente de RSA para al Instituto Tecnológico de Massachussets (MIT) que luego la cede a un grupo denominado PKP (Public Key Partners). En 1991, el programador Phil Zimmermann autoriza la publicación en boletines electónicos y grupos de noticias un programa desarrollado por él y que denominó Pretty Good Privacy (PGP o Privacidad Bastante Buena, en español).

PGP se basa en los algoritmos de RSA publicados en 1978. A pesar de las amenazas de demandas, PGP sigue creciendo y hoy por hoy es el standard de encriptamiento más difundido a nivel mundial.

2.3 COMPENDIOS DE MENSAJE.

Los compendios de mensaje se generan pasándolo a través de una función criptográfica unidireccional (aquella que no puede invertirse). Cuando el compendio de un mensaje se cifra utilizando la clave privada del remitente y se anexa al mensaje original, el resultado se conoce como firma digital del mensaje.

El algoritmo utilizado por SET genera compendios de 160 bits. La probabilidad de que dos mensajes tengan el mismo compendio es de 1 entre 1.048.

SET introduce un nivel superior de seguridad mediante el empleo de las denominadas firmas dobles. Una firma de este tipo se genera creando un compendio de ambos mensajes, encadenándolos entre sí, computando el compendio del resultado y cifrando este compendio con la clave privada de la firma original. El firmante debe incluir el compendio del otro mensaje que el destinatario sea capaz de verificar la firma doble.

El receptor de uno u otro mensaje puede comprobar su autenticidad  generando el compendio en su copia del mensaje, encadenándolo con el compendio del otro mensaje (suministrado por el remitente) y computando el compendio del resultado. Si el compendio recién generado se corresponde  con la firma doble descifrada, el destinatario puede confiar en la autenticidad del mensaje.

Para incrementar aún más la seguridad de estos procedimientos, SET utiliza la Certificate Authority (CA).

seguridad es uno de los aspectos más conflictivos del uso de Internet. La falta de una política de seguridad global está frenando el desarrollo de Internet en áreas tan interesantes y prometedoras como el comercio electrónico o la interacción con las administraciones públicas, por ello es importante crear un entorno seguro. (vea el ejemplo PASSWORD).
Las técnicas criptográficas actuales proporcionan un alto grado de confidencialidad; pero es durante la transferencia de información donde más peligro de seguridad existe.

En un servidor seguro es donde mejor se preserva la intimidad y confidencialidad de sus clientes y donde se dan los mayores servicios de seguridad.

La seguridad tiene connotaciones legales que no siempre se respetan.

2.4 SEGURIDAD EN REDES COMPLEJAS: EL CASO DE INTERNET.

El fenómeno de la extensión de la Internet ha adquirido una velocidad tan rápida y unas proporciones, que el panorama actual y muchos de los efectos que se dan en su seno resultan sorprendentes y difícilmente imaginables hace sólo una década.

Inicialmente Internet nace como una serie de redes que promueven el intercambio de información entre investigadores que colaboran en proyectos conjuntos o comparten resultados usando los recursos de la red. En esta etapa inicial, la información circulaba libremente y no existía una preocupación por la privacidad de los datos ni por ninguna otra problemática de seguridad.

Estaba totalmente desaconsejado usarla para el envío de documentos sensibles o clasificados que pudieran manejar los usuarios. situación esta muy común, pues hay que recordar que la Internet nace como un contrato del Departamento de Defensa Americano -año 1968- para conectar entre sí tanto las Universidades como los centros de investigación que colaboran de una manera u otra con las Fuerzas Armadas Norteamericanas.

Los protocolos de Internet fueron diseñados de una forma deliberada para que fueran simples yu sencillos. El poco esfuerzo necesario para su desarrollo y verificación jugó eficazmente a favor de su implantación generalizada, pero tanto las aplicaciones como los niveles de transporte carecían de mecanismos de seguridad que no tardaron en ser echados en falta.

Más recientemente, la conexión a Internet del mundo empresarial se ha producido a un ritmo vertiginoso muy superior a la difusión de ninguna otra tecnología anteriormente ideada. Ello ha significado que esta red de redes se haya convertido en "la red" por excelencia. Esto es, el medio más popular de interconexión de recursos informáticos y embrión de las anunciadas autopistas de la información.

Se ha incrementado la variedad y cantidad de usuarios que usan la red para fines tan diversos como el aprendizaje, la docencia, la investigación, la búsqueda de socios o mercados, la cooperación altruista, la práctica política o, simplemente, el juego.

En medio de esta variedad han ido aumentando las acciones poco respetuosas con la privacidad y con la propiedad de recursos y sistemas. Hackers, frackers, crackers ... y demás familias han hecho aparición en el vocabulario ordinario de los usuarios y de los administradores de las redes.

La propia complejidad de la red es una dificultad para la detección y corrección de los múltiples y variados problemas de seguridad que van apareciendo. Además de las técnicas y herramientas criptográficas antes citadas, es importante recalcar que una componente muy importante para la protección de los sistemas consiste en la atención y vigilancia continua y sistemática por parte de los gestores de la red.

Como ejemplo, en la Tabla F se recoge una lista exhaustiva de problemas detectados, extraída del libro: "Firewalls and Internet Security. (...)".

 

LISTA DE PELIGROS MÁS COMUNES EN SISTEMAS CONECTADOS A INTERNET

1.- De todos los problemas, el mayor son los fallos en el sistema de passwords.

2.- Los sistemas basados en la autenticación de las direcciones se pueden atacar usando números consecutivos.

3.- Es fácil interceptar paquetes UDP.

4.- Los paquetes ICMP pueden interrumpir todas las comunicaciones entre dos nodos.

5.- Los mensajes ICMP Redirect pueden corromper la tabla de rutas.

6.- El encaminamiento estático de IP puede comprometer la autenticación basada en las direcciones.

7.- Es fácil generar mensajes RIP falsos.

8.- El árbol inverso del DNS se puede usar para conocer nombres de máquinas.

9.- Un atacante puede corromper voluntariamente la caché de su DNS para evitar responder peticiones inversas.

10.- Las direcciones de vuelta de un correo electrónico no son fiables.

11.- El programa sendmail es un peligro en sí mismo.

12.- No se deben ejecutar a ciegas mensajes MIME.

13.- Es fácil interceptar sesiones telnet.

14.- Se pueden atacar protocolos de autenticación modificando el NTP.

15.- Finger da habitualmente demasiada información sobre los usuarios.

16.- No debe confiarse en el nombre de la máquina que aparece en un RPC.

17.- Se puede conseguir que el encargado de asignar puertos IP ejecute RPC en beneficio de quien le llama.

18.- Se puede conseguir, en muchísimos casos, que NIS entregue el fichero de passwords al exterior.

19.- A veces es fácil conectar máquinas no autorizadas a un servidor NIS.

20.- Es difícil revocar derechos de acceso en NFS.

21.- Si está mal configurado, el TFTP puede revelar el /etc./passwords.

22.- No debe permitirse al ftp escribir en su directorio raíz.

23.- No debe ponerse un fichero de passwords en el área de ftp.

24.- A veces se abusa de FSP, y se acaba dando acceso a ficheros a quien no se debe dar.

25.- El formato de información de WWW debe interpretarse cuidadosamente.

26.- Los servidores WWW deben tener cuidado con los punteros de ficheros.

27.- Se puede usar ftp para crear información de control del gopher.

28.- Un servidor WWW puede verse comprometido por un script interrogativo pobremente escrito.

29.- El MBone se puede usar para atravesar algunos tipos de cortafuego.

30.- Desde cualquier sitio de la Internet se puede intentar la conexión a una estación X11 (X-Server).

31.- No se debe confiar en los números de puerto facilitados remotamente.

32.- Es casi imposible hacer un filtro seguro que deje pasar la mayoría del UDP.

33.- Se puede construir un túnel encima de cualquier transporte.

34.- Un cortafuego no previene contra niveles superiores de aquellos en los que actúa.

35.- Las X11 son muy peligrosas incluso a través de una pasarela.

36.- Las herramientas de monitorización de red son muy peligrosas si alguien accede

ilegítimamente a la máquina en que residen.

37.- Es peligroso hacer peticiones de finger a máquinas no fiables.

38.- Se debe de tener cuidado con ficheros en áreas públicas cuyos nombres

contengan caracteres especiales.

39.- Los caza-passwords actúan silenciosamente.

40.- Hay muchas maneras de conseguir copiar el /etc./passwords

41.- Registrando completamente los intentos fallidos de conexión, se capturan passwords.

42.- Un administrador puede ser considerado responsable -si se demuestra conocimiento

o negligencia- de las actividades de quien se introduce en sus máquinas.

  TABLA F. LISTA DE PELIGROS EN INTERNET.

Fuente: "Firewalls and Internet Security. Repelling the Wily Hacker" 

A la hora de plantearse en que elementos del sistema se deben de ubicar los servicios de seguridad podrían distinguirse dos tendencias principales:

 

• Protección de los sistemas de transferencia o transporte. En este caso, el administrador de un servicio, asume la responsabilidad de garantizar la transferencia segura de la información de forma bastante transparente al usuario final. Ejemplos de este tipo de planteamientos serían el establecimiento de un nivel de transporte seguro, de un servicio de mensajería con MTAs seguras, o la instalación de un cortafuego, (firewall), que defiende el acceso a una parte protegida de una red.

 

 

• Aplicaciones seguras extremo a extremo. Si pensamos por ejemplo en correo electrónico consistiría en construir un mensaje en el cual en contenido ha sido asegurado mediante un procedimiento de encapsulado previo al envío, de forma que este mensaje puede atravesar sistemas heterogéneos y poco fiables sin por ello perder la validez de los servicios de seguridad provistos. Aunque el acto de securizar el mensaje cae bajo la responsabilidad del usuario final, es razonable pensar que dicho usuario deberá usar una herramienta amigable proporcionada por el responsable de seguridad de su organización. Este mismo planteamiento, se puede usar para abordar el problema de la seguridad en otras aplicaciones tales como videoconferencia, acceso a bases de datos, etc.

 

En ambos casos, un problema de capital importancia es la gestión de claves. Este problema es inherente al uso de la criptografía y debe estar resuelto antes de que el usuario esté en condiciones de enviar un solo bit seguro. En el caso de las claves secretas el problema mayor consiste en mantener su privacidad durante su distribución, en caso de que sea inevitable su envío de un punto a otro. En el caso de clave pública, los problemas tienen que ver con la garantía de que pertenecen a su titular y la confianza en su vigencia (que no haya caducado o sido revocada).

Una manera de abordar esta gestión de claves está basada en el uso de los ya citados Certificados de Clave Pública y Autoridades de Certificación. El problema de la vigencia de la clave se resuelve con la generación de Listas de Certificados Revocados (CRLs) por parte de las CAs.

2.5 LA NECESIDAD DE  ESTABLECER UN ENTORNO SEGURO.

En la actualidad, la falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada vez es mayor el número de atacantes y cada vez están más organizados, por lo que van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios en su labor de piratería.

Tal y como se avanzaba en la primera parte de este articulo, la criptografía por sí sola no es suficiente para prevenir los posibles ataques que se perpetran sobre las redes, sino que es necesario establecer unos mecanismos más complejos que utilizan los distintos sistemas criptográficos en sus cimientos.

Pero el problema no queda solucionado instalando en una serie de servidores herramientas de seguridad, porque ¿quién tendría acceso a esas herramientas?, ¿a qué aplicaciones se aplicarían?, ¿qué sucedería si sólo uno de los dos interlocutores en una comunicación tiene acceso a herramientas de seguridad?. Por lo tanto, cuando se habla de seguridad en redes es necesario definir el entorno en el que se va a aplicar.

La definición de un entorno seguro implica la necesidad de estudiar varios aspectos y de establecer una infraestructura que dé soporte a los servicios de seguridad que se quieren proporcionar. Lo primero que hay que establecer es qué aplicaciones necesitan seguridad y cuántos servicios se necesitan. En segundo lugar hay que determinar cómo se van a proporcionar esos servicios, si van a ser transparentes al usuario, si se le va a dejar elegir el tipo de servicio, etc.

También es necesario determinar en qué nivel se van a proporcionar, si en el nivel de aplicación o en niveles inferiores. Y sobre todo, tanto si se utiliza criptografía de clave secreta, como si se utiliza criptografía de clave pública es necesario diseñar un sistema de gestión de claves y definir una política que determine la forma en la que se debe operar.

Cuando se utiliza únicamente criptografía de clave simétrica, aunque el sistema de generación de claves suele ser sencillo, ya que no se requiere una gran infraestructura para soportarlo, los mecanismos de distribución de las claves suelen ser muy complejos.

En este caso, los principales parámetros que hay que tener en cuenta son el modo de difundir la clave secreta de forma segura a las dos entidades que van a utilizarla y la frecuencia con la que se deben renovar las claves para evitar que sean desveladas.

Cuando se utiliza criptografía de clave pública, el sistema de gestión de claves se complica. En primer lugar es necesario almacenar las claves públicas en un lugar al que tengan libre acceso todos los usuarios que forman parte del entorno de seguridad. ITU, en su recomendación X.509, propone la utilización del Directorio para este fin; pero no todos los usuarios de seguridad tienen acceso al Directorio X.500, por lo que en muchos entornos es necesario crear o utilizar otro tipo de bases de datos.

El segundo problema que se plantea al utilizar criptosistemas de clave pública, es que las claves públicas, por el simple hecho de ser públicas, están expuestas a la manipulación por parte de todos los usuarios, por lo que es necesario buscar un mecanismo que permita confiar en su validez.

Siguiendo el ejemplo de los actuales sistemas legales, aparece la figura de una autoridad de confianza que se encarga de certificar las claves públicas. Estas autoridades, conocidas con el nombre de Autoridades de Certificación (CA "Certification Authority"), emiten certificados de las claves públicas de los usuarios firmando con su clave secreta un documento, válido por un período determinado de tiempo, que asocia el nombre distintivo de un usuario con su clave pública.

En la recomendación X.509 se define en sintaxis ASN.1 el siguiente modelo de certificado:

     Certificate ::= SIGNED SEQUENCE{

        version                 [0] Version DEFAULT 0,

        serialNumber            CertificateSerialNumber,

        signature               AlgorithmIdentifier,

        issuer                  Name,

        validity                Validity,

        subject                 Name,

        SubjectPublicInfo       SubjectPublicInfo,

        issuerUniqueId          [1] IMPLICIT BIT STRING OPTIONAL,

        SUBJECTUniqueId         [1] IMPLICIT BIT STRING OPTIONAL}

Además, para que los usuarios puedan estar seguros de la validez de los certificados de las claves pública de sus interlocutores, la CA debe mantener una lista con los certificados emitidos por ella y que han sido revocados por detección de un uso fraudulento de la clave pública certificada o de la clave secreta asociada.

Estas listas se conocen con el nombre de Listas de Certificados Revocados (CRL, "Certificate Revocation List").

Cuando la comunidad de usuarios crece, una sola CA puede verse desbordada por el número de certificados que tiene que gestionar. En otros casos, las empresas o instituciones quieren tener cierto control sobre la manera en que sus usuarios generan las claves, la caducidad de los certificados, etc.

Esto hace conveniente distribuir las funciones de certificación entre varias CAs, cuya política de seguridad puede ser diferente. En la recomendación X.509 ya se prevé la necesidad de una organización de CAs donde se certifiquen unas a otras, sin indicar el tipo de relación organizativa que se debe establecer entre ellas.

De esta forma, dependiendo de las necesidades de cada entorno han aparecido distintos modelos de organización de CAs.

 

2.6  UNA EXPERIENCIA DE ENTORNOS SEGUROS EN EL ÁMBITO ACADÉMICO: PROYECTO PASSWORD.

El proyecto PASSWORD Piloting an European Security Infraestructure for Network Application financiado por la Unión Europea dentro del programa VALUE tenía como objetivo central el desarrollo de un entorno de seguridad apropiado para la comunidad investigadora europea.

Se trataba de poner a prueba la madurez de las tecnologías empleadas en la provisión de servicios de seguridad en redes telemáticas en aspectos como la adecuación y completitud de los protocolos y herramientas criptográficas, adecuación del hardware disponible (tarjeta inteligente), aspectos ergonómicos, etc.

Para probar la dificultad real de desarrollar independientemente sistemas que interoperen entre sí, se constituyeron tres consorcios. Cada uno de los consorcios desarrolló un sistema de seguridad completamente independiente a partir de cero, con los que luego se probarían distintas comunicaciones seguras.

Cada consorcio estaba formado por instituciones de un país distinto de la Unión Europea y cada uno estaba liderado por una prestigiosa institución investigadora.

• Gran Bretaña, (encabezaba el consorcio el University College de Londres)
• Alemania (GMD), y
• Francia (INRIA)

El diseño inicial incluye una infraestructura de gestión de claves basada en claves certificadas según X.509 y el aseguramiento de varias aplicaciones de uso común: Directorio X.500, documentos ofimáticas en formato ODA y correo electrónico, tanto X.400 (versión 88) como Internet PEM.

Cada aplicación era modificada para hacer uso de los servicios de seguridad y todas ellas usaban una misma infraestructura de claves.

El directorio cumplía una doble función de aplicación asegurada y colaborador de la infraestructura de certificados al ser la vía preferida para la distribución de estos.

DIATEL participó en el proyecto como institución piloto, instalando una DSA segura y dos Autoridades de Certificación con varios usuarios. Durante la experiencia se pudieron realizar varias comunicaciones seguras con los otros participantes en el proyecto.

Las aplicaciones probadas fueron, correo Internet PEM y Directorio seguro X.500 utilizando autenticación fuerte en peticiones y respuestas. Para ello se utilizó el software público SecuDE 4.2 del GMD e ISODE 8.0. En el transcurso del proyecto se contribuyó a depurar el software y afloraron algunas de las limitaciones de este modelo que se exponen más adelante.

 

2.7 ENTORNO SEGURO PARA LA TRANSFERENCIA DE INFORMACIÓN.

Uno de los puntos más vulnerables de las redes frente a ataques de intrusos, es la captura de información durante su transferencia. Aunque cada sistema que forma parte de una red se proteja internamente a sí mismo y a la información que tiene almacenada, cuando la información se transfiere de un sistema a otro no se conoce a priori el encaminamiento que va a seguir ni las medidas de seguridad que poseen los sistemas por los que atraviesa y los medios por los que se transmite.

Por este motivo la transferencia segura de información a través de las redes es en la actualidad, el principal problema que los investigadores intentan solucionar.

DIATEL ha estado trabajando en los últimos años en el proyecto de la UE, COST225 "Secure Communications", cuya coordinación en la última fase, ha sido llevada a cabo por uno de los miembros del grupo de seguridad del Departamento, que ha realizado la función de "chairman".

El objetivo de este proyecto, que ha concluido al inicio de 1995, ha sido el de estudiar y experimentar en varios entornos seguros en los que se realiza transferencia de información, como son el correo electrónico y la transferencia de ficheros a través de FTP y FTAM. Concretamente, en DIATEL se ha montado un entorno de seguridad que permite transferir información con distintos niveles de seguridad, a través de cualquier aplicación.

El desarrollo consta de dos partes fundamentales. La primera parte consiste en una aplicación, denominada SECKit, que permite a un usuario manejar distintas herramientas de seguridad con el fin de poder convertir a un fichero normal, en un fichero con un cierto nivel de seguridad.

La aplicación SECKit que por su carácter experimental no incluye un interfaz de usuario amigable, presenta un único menú en el que aparece la lista de operaciones que permite realizar.

La segunda parte consiste en el desarrollo de un servidor de seguridad denominado SECServer. Este servidor de seguridad no sólo oferta los servicios de una autoridad de certificación (generación de certificados de claves públicas), sino que además ofrece la posibilidad de generación de claves RSA para aquellos usuarios que no sean capaces de generarlas, y se encarga del almacenamiento y distribución de los certificados de los usuarios que lo soliciten.

Las peticiones de servicios al SECServer se realizan a través de correo electrónico y el SECServer envía los certificados o las claves solicitadas a través de correo electrónico, FTP o FTAM.

En este entorno de seguridad los usuarios antes de transferir un fichero lo pueden transformar en un fichero firmado, en un fichero encriptado con DES o RSA, o en lo que en el entorno se denomina, un fichero seguro.

Y cuando reciben un fichero firmado, encriptado o seguro, procedente de otro usuario, lo pueden transformar en el fichero original, verificando la validez de la información recibida.

Un fichero seguro es el resultado de combinar los mecanismos de seguridad de firma y encriptado con el fin de proporcionar los servicios de autenticación de origen y destino, integridad, confidencialidad y no repudio de origen.

Cuando un usuario A desea enviar un fichero seguro a un usuario B, debe seguir los siguientes pasos:

1. A debe cifrar el fichero que quiere enviar a B. Para cifrarlo utilizará una clave simétrica K, generada en ese momento, y un algoritmo de cifrado DES.
2. Para que B pueda descifrar el contenido del fichero necesita conocer la clave K empleada. A debe enviar a B la clave K de una forma segura. Para ello, A utilizará un algoritmo de cifrado asimétrico RSA y cifrará K con la clave pública de B. De esta forma se garantiza que el único destinatario que puede recibir el fichero original es B. Cuando B reciba el fichero seguro, deberá utilizar su clave secreta para obtener la clave K, de esta forma sólo B podrá conocer la clave de cifrado empleada, con lo que queda totalmente garantizada la confidencialidad del contenido del fichero.
3. Para proporcionar el servicio de integridad y de autenticación del origen de los datos, A firmará el fichero original comprimiendo el contenido con una función hash y cifrando el resultado con su clave secreta. Cuando B reciba el fichero podrá verificar la firma comprobando así la integridad del mismo y autenticando al originador de los datos. Para verificar la firma, B deberá descifrarla utilizando la clave pública de A, obteniendo así el contenido del fichero comprimido. Si B obtiene la clave pública de A de su certificado, queda garantizado ante la CA que A es quien ha enviado el certificado. Una vez descifrado el fichero original, B puede comprimirlo con la función hash que se ha empleado en la firma, comparando el resultado con el obtenido de la firma, de forma que si ambos coinciden queda garantizado que el contenido del fichero original no ha sido manipulado durante su transferencia.

El entorno diseñado en esta experimentación es un entorno muy abierto. Cualquier usuario de Internet que tenga correo electrónico puede acceder al SECServer para solicitar claves RSA o certificados. Si los usuarios del servidor tienen acceso al Directorio X.500, ellos mismos pueden guardar sus certificados en su entrada correspondiente y pueden recuperar los certificados de sus interlocutores.

Los usuarios que tienen certificadas las claves publicas por la CA del entorno no necesitan obligatoriamente tener instalada la aplicación de usuario SECKit para realizar comunicaciones seguras; basta con que los usuarios tengan un traductor de sintaxis ASN.1 y una implementación de los algoritmos utilizados en el entorno.

En la última fase del proyecto COST 225, varias de las instituciones participantes, y entre ellas DIATEL, han centrado sus esfuerzos en plantear nuevos modelos en los que participan varias CAs. Se han estudiado distintas arquitecturas de organización de las CAs y se han buscado soluciones para que los usuarios puedan conocer los caminos de certificación compuestos por los certificados que se deben examinar para que un usuario A tenga plena confianza en la validez de la clave pública de un usuario B.

 

 

• ¿Qué es un servidor seguro?

 

Cuando usted se conecta a un servidor Web seguro como
 https://www.commercialplace.com le obliga al servidor que se autentifique. Esta autentificación tiene que ver con un complejo proceso que incluye claves públicas, privadas y un certificado digital.

El certificado digital le confirma que una compañía independiente y con privilegios legales le asegura que el servidor Web al que se ha conectado pertenece a la compañía que dice ser.

Un certificado de seguridad válido significa que usted obtiene la conformidad de que está enviando información al lugar              correcto.

El certificado de seguridad para dominios en Internet que tramita el centro proveedor Interplanet está acreditado por la empresa Thawte Consulting quién opera como Notario Virtual para toda la red Internet a la vez que da fe de la autenticidad de su empresa cuando alguien se conecta a su servidor seguro.

El certificado digital que puede obtener para su dominio registrado en Interplanet es aceptado por los fabricantes de software más importantes y en consecuencia por los siguientes navegadores o browsers de Internet:

Netscape Navigator 3.0.
                           Netscape Communicator 4.0.
                           Microsoft Internet Explorer 3.01.
                           Microsoft Internet Explorer 3.02.
                           Microsoft Internet Explorer Suit 4.0 .

Existen en Internet otras compañías que suministran el famoso Certificado Digital basado en el protocolo de comunicaciones SSL (secure socket layer) 3.0 reconocido ya por los mayores fabricantes de software para Internet pero sólo Thawte Consulting ha demostrado ser la más eficaz y lo que es más importante la compañía más rápida a la hora de entregar el certificado suministrando al usuario que lo haya solicitado información detallada del estado actual de su petición a través de una página Web personal.

Lea el artículo acerca del significado y uso protocolo SSL de seguridad para la transacción encriptada de información personal y empresarial por Internet en la Base de Conocimiento de Interplanet Enterprise.

Si su organización o empresa decide suscribir un certificado digital para uno o varios dominios en Internet deberá saber que todas las páginas Web incluidas en el dominio principal así como archivos, imágenes, formularios y más que estén incluidas dentro de su directorio raíz y hayan sido solicitadas por parte de los usuarios que las visiten a través del protocolo de seguridad HTTPS en lugar del estándar HTTP serán verificadas como "Sitio Seguro" para la tranquilidad de todos sus clientes.

2.8 LOS SERVICIOS DE SEGURIDAD

El documento de ISO que describe el Modelo de Referencia OSI, presenta en su Parte 2 una Arquitectura de Seguridad. Según esta arquitectura, para proteger las comunicaciones de los usuarios en las redes, es necesario dotar a las mismas de los siguientes servicios de seguridad:

• Autenticación de entidad par. Este servicio corrobora la fuente de una unidad de datos. La autenticación puede ser sólo de la entidad origen o de la entidad destino, o ambas entidades se pueden autenticar la una o la otra.
• Control de acceso. Este servicio se utiliza para evitar el uso no autorizado de recursos.
• Confidencialidad de datos. Este servicio proporciona protección contra la revelación deliberada o accidental de los datos en una comunicación.
• Integridad de datos. Este servicio garantiza que los datos recibidos por el receptor de una comunicación coinciden con los enviados por el emisor.
• No repudio. Este servicio proporciona la prueba ante una tercera parte de que cada una de las entidades comunicantes han participado en una comunicación. Puede ser de dos tipos:
• Con prueba de origen. Cuando el destinatario tiene prueba del origen de los datos.
• Con prueba de entrega. Cuando el origen tiene prueba de la entrega íntegra de los datos al destinatario deseado.

Para proporcionar estos servicios de seguridad es necesario incorporar en los niveles apropiados del Modelo de Referencia OSI los siguientes mecanismos de seguridad:

• Cifrado. El cifrado puede hacerse utilizando sistemas criptográficos simétricos o asimétricos y se puede aplicar extremo a extremo o individualmente a cada enlace del sistema de comunicaciones.
• El mecanismo de cifrado soporta el servicio de confidencialidad de datos al tiempo que actúa como complemento de otros mecanismos de seguridad.
• Firma digital. Se puede definir la firma digital como el conjunto de datos que se añaden a una unidad de datos para protegerlos contra la falsificación, permitiendo al receptor probar la fuente y la integridad de los mismos. La firma digital supone el cifrado, con una componente secreta del firmante, de la unidad de datos y la elaboración de un valor de control criptográfico.
• La firma digital descrita por ITU y OSI en el Entorno de Autenticación del Directorio utiliza un esquema criptográfico asimétrico. La firma consiste en una cadena que contiene el resultado de cifrar con RSA aplicando la clave privada del firmante, una versión comprimida, mediante una función hash unidireccional y libre de colisiones, del texto a firmar.
• Para verificar la firma, el receptor descifra la firma con la clave pública del emisor, comprime con la función hash al texto original recibido y compara el resultado de la parte descifrada con la parte comprimida, si ambas coinciden el emisor tiene garantía de que el texto no ha sido modificado.
• Como el emisor utiliza su clave secreta para cifrar la parte comprimida del mensaje, puede probarse ante una tercera parte, que la firma sólo ha podido ser generada por el usuario que guarda la componente secreta. El mecanismo de firma digital soporta los servicios de integridad de datos, autenticación de origen y no repudio con prueba de origen. Para proporcionar el servicio de no repudio con prueba de entrega es necesario forzar al receptor a enviar al emisor un recibo firmado digitalmente.
• Control de acceso. Este mecanismo se utiliza para autenticar las capacidades de una entidad, con el fin de asegurar los derechos de acceso a recursos que posee. El control de acceso se puede realizar en el origen o en un punto intermedio, y se encarga de asegurar si el emisor está autorizado a comunicar con el receptor y/o a usar los recursos de comunicación requeridos. Si una entidad intenta acceder a un recurso no autorizado, o intenta el acceso de forma impropia a un recurso autorizado, entonces la función de control de acceso rechazará el intento, al tiempo que puede informar del incidente, con el propósito de generar una alarma y/o registrarlo.
• El mecanismo de control de acceso soporta el servicio de control de acceso.
• Integridad de datos. Es necesario diferenciar entre la integridad de una unidad de datos y la integridad de una secuencia de unidades de datos ya que se utilizan distintos modelos de mecanismos de seguridad para proporcionar ambos servicios de integridad.
• Para proporcionar la integridad de una unidad de datos la entidad emisora añade a la unidad de datos una cantidad que se calcula en función de los datos. Esta cantidad, probablemente encriptada con técnicas simétricas o asimétricas, puede ser una infomración suplementaria compuesta por un código de control de bloque, o un valor de control criptográfico. La entidad receptora genera la misma cantidad a partir del texto original y la compara con la recibida para determinar si los datos no se han modificado durante la transmisión.
• Para proporcionar integridad a una secuencia de unidades de datos se requiere, adicionalmente, alguna forma de ordenación explícita, tal como la numeración de secuencia, un sello de tiempo o un encadenamiento criptográfico.
• El mecanismo de integridad de datos soporta el servicio de integridad de datos.
• Intercambio de autentificación. Existen dos grados en el mecanismo de autenticación:
• Autentificación simple. El emisor envía su nombre distintivo y una contraseña al receptor, el cual los comprueba.
• Autentificación fuerte. Utiliza las propiedades de los criptosistemas de clave pública. Cada usuario se identifica por un nombre distintivo y por su clave secreta. Cuando un segundo usuario desea comprobar la autenticidad de su interlocutor deberá comprobar que éste está en posesión de su clave secreta, para lo cual deberá obtener su clave pública.

Para que un usuario confíe en el procedimiento de autenticación, la clave pública de su interlocutor se tiene que obtener de una fuente de confianza, a la que se denomina Autoridad de Certificación. La Autoridad de Certificación utiliza un algoritmo de clave pública para certificar la clave pública de un usuario produciendo así un certificado.

Un certificado es un documento firmado por una Autoridad de Certificación, válido durante el período de tiempo indicado, que asocia una clave pública a un usuario.

2.9 IMPLICACIONES LEGALES.

La seguridad informática es rica en implicaciones legales. Las leyes españolas restringen la manipulación abusiva de datos personales tan comunes como la dirección, teléfono, etc.  obligando a proteger los ficheros que contengan este tipo de datos. Otros datos personales como los sanitarios, ideología, religión o vida sexual están especialmente protegidos, requiriéndose permiso escrito del afectado para su tratamiento o bien, sólo en algunas excepciones, una legislación especial.

Aunque aún no se ha desarrollado un reglamento, y su incumplimiento es manifiesto, la ley está en vigor desde enero de 1992. El pasado verano la Agencia de Protección de Datos solicitó la inscripción de todos los ficheros automatizados con datos personales existentes, solicitando a la organización responsable que indicase qué ámbito tiene cada fichero, qué tipo de información guarda, etc.

También el uso y la exportación de criptografía están contemplados en la legislación de muchos países despertando no poca polémica. En la mayoría de los países de nuestro entorno, incluida España, se permite libremente el uso de la criptografía pero no su exportación, basándose en el hecho de que se consideran tecnologías de doble uso que pueden tener una utilización militar.

España adoptó las limitaciones a la exportación habituales dentro de la Alianza Atlántica por un Real Decreto en 1993.

Finalmente la validez de la firma digital ante posibles conflictos o reclamaciones, también está perfectamente avalada en la legislación vigente. Respecto a su uso en el ámbito de la contratación privada, -para dar validez a una oferta, encargo u orden de pago hecha por medios electrónicos- la ley se refiere únicamente a que se pueda demostrar la voluntad de contratar.

En el ámbito de la Administración Pública, se reconoce explícitamente la validez de los métodos electrónicos de transferencia de la información siempre que se garantice la identidad (servicio de autenticación). Esta normativa contempla tanto las relaciones entre lo diferentes departamentos como las de los administrados con la Administración.

Sin embargo hay que reconocer que, ni en el derecho mercantil ni en el administrativo hay jurisprudencia en la aplicación de estas leyes, ya que los interesados que usan estos procedimiento prefieren llegar a acuerdos antes que recurrir a los tribunales.

Dentro de Europa, es excepcional el caso de Francia donde el simple uso de la criptografía está prohibida a no ser que se disponga de una licencia. En sentido contrario, algunos países nórdicos no tienen ningún tipo de limitación respecto a la exportación. Hay que tener en cuenta que este tipo de limitaciones tienen muy poca efectividad ante la dificultad existente para vigilar la exportación de software.

Por otra parte, aunque se prohíba la exportación de los sistemas seguros, los algoritmos criptográficos y protocolos para la consecución de servicios de seguridad son frecuentemente públicos, con lo que los sistemas se pueden volver a desarrollar en el país de destino.

2.9.1 Firmas de comprobación aleatoria (HASH).

 Las funciones de comprobación aleatoria son similares a las de cifrado (de hecho, algunas de ellas son funciones de cifrado con ligeras modificaciones). La mayoría de estas funciones toma un bloque de datos y lo somete reiteradamente a una sencilla función de desordenación (scramling) para alterar sus elementos. Si esta operación se repite un cierto número de veces, no existe forma práctica conocida de predecir el resultado.

Es imposible modificar un documento de un modo determinado y estar seguro de que la función de comprobación aleatoria producirá el mismo resultado.

Este tipo de firma utiliza una función de comprobación aleatoria criptográficamente segura, como Message digest 5 (MD-5) o Secure Hash Algorithm (SHA), para producir un valor de comprobación aleatoria a partir de un archivo.

El procedimiento de comprobación aleatoria encadena su clave secreta. El destinatario también tiene ua copia de la clave secreta y la utiliza para evaluar la firma.

En el caso de CyberCoin, de CyberCash, los usuarios reciben claves secretas cuando adquieren el producto. Estas claves sólo son conocidas por su ordenador y por el ordenador central. Cuando está a punto de practicarse una transacción, se compone de un archivo que contiene el importe y los detalles, y después se firma con la clave secreta (el cliente ensambla el archivo, encadena la clave secreta, computa la función de comprobación aleatoria y, finalmente, expide el archivo y el resultado de la función de comprobación aleatoria sin la clave secreta). El banco central puede verificar esta transacción repitiendo el cálculo, ya que también conoce el valor secreto.

La firma basada en comprobación aleatoria es posiblemente el menos conocido de los algoritmos de firma. Ha adquirido progresivamente mayor popularidad porque requiere una menor intensidad computacional que el resto de algoritmos. Diversos sistemas de micropagos (microcash), como Millicent de DEC o CyberCoin, emplean firmas de comprobación aleatoria para recortar los costes de procesamiento y posibilitar transacciones más pequeñas.

Todos estos sistemas requieren que un servidor central verifique cada una de las transacciones, y emplear algoritmos más rápidos implica consumir menos potencia de servidor y reducir la carga del ordenador central.

La principal limitación de la firma de comprobación aleatoria es que el destinatario también debe poseer una copia de la clave secreta para verificar la firma. Esto podría permitir que el receptor falsificara una firma. Mantener estas claves secretas comporta ciertas molestias, por lo que muchos usuarios emplean una infraestructura secreta compartida.

2.9.2 Desarrollo de algoritmos de seguridad

·         EL ALGORITMO DSS. En este algoritmo existen dos claves para cada persona. Una de ellas crea la firma  y se mantiene secreta. La otra - la clave pública - verifica la firma. El DSS fue desarrollado por el U.S. National Institute of Standards and Technology (NIST) con la colaboración de la National Security Agency (NSA). Sólo están obligadas a utilizarlo las compañías que mantienen negocios con el gobierno americano, y muchas prefieren no hacerlo porque es un sistema exclusivamente de firma. El NIST eligió esta solución limitada, porque el gobierno de EE.UU. pretende desalentar el uso de cualquier software de cifrado que cercene su capacidad para fisgonear en asuntos ajenos.

 

El software que sólo proporciona autentificación, como el DSS, puede exportarse libremente en los productos, mientras que el software que emplea RSA para cifrado general está sometido a severas restricciones.

ALGORITMO RSA. Las firmas RSA son, con mucho, las más populares, gracias en parte al márketing agresivo, la política de patentes y el desarrollo a largo plazo que ha adoptado RSA Data Security. Esta empresa controla muchas de las patentes más importantes en este campo, y aunque ha tenido que hacer frente a numerosos litigios, RSA ha sabido utilizar su posición para consolidarse definitivamente como líder. Su software y sus bibliotecas se encuentran en el núcleo de muchos productos, y la compañía sigue contando entre sus filas con algunos de los criptógrafos más reconocidos.

 RSA Data Security fue la firma encargada de integrar el software de firma digital con el sistema operativo Macintosh mucho antes de que floreciera el Web, por ejemplo. También añadió a PowerTalk (el software cooperativo de Apple) applets de firma de Arrastrar y soltar que permitían que cualquier usuario incrustara una firma digital en un formulario electrónico con sólo arrastralo hasta el icono. RSA Data Security ha otorgado licencia sobre sus patentes a los principales vendedores de sistemas operativos, incluidos Microsoft, IBM, Sun y Digital, y cada uno de ellos ha incorporado prestaciones similares a sus líneas de productos, aunque sin alcanzar el mismo nivel de integración. A diferencia de DSS, RSA también puede utilizarse para cifrar datos y proporcionar seguridad, además de autenticidad.

 Tanto en los algoritmos de clave pública como en los de comprobación aleatoria, el nivel de seguridad puede mejorarse verificando que los secretos y las claves contengan el número suficiente de bits como para resistir cualquier ataque conocido.

Las firmas de comprobación aleatoria son más susceptibles de violación, dado que el secreto que se usa para crear la firma es conocido por ambas partes. Una fisura en el ordenador central o el allanamiento del domicilio del usuario podrían comprometer una firma de comprobación aleatoria.

Por otra parte, la clave que genera la firma en los sistemas de clave pública sólo se guarda en el ordenador del propietario, lo que reduce significativamente los riesgos de seguridad.

·         SSL Handshake. Durante el hanshake se cumplen varios propósitos. Se hace autenticación del servidor y opcionalmente del cliente, se determina que algoritmos de criptografía serán utilizados y se genera una llave secreta para ser utilizada durante el intercambio de mensajes subsiguientes durante la comunicación SSL.

 

Los pasos que se siguen son los siguientes:

1. Client Hello: El "saludo de cliente" tiene por objetivo informar al servidor que algoritmos de criptografía puede utilizar y solicita una verificación de la identidad del servidor. El cliente envía el conjunto de algoritmos de criptografía y compresión que soporta y un número aleatorio.. El propósito del número aleatorio es para que en caso de que el servidor no posea un certificado para comprobar su identidad, aún se pueda establecer una comunicación segura utilizando un conjunto distinto de algoritmos. Dentro de los protocolos de criptografía hay un protocolo de intercambio de llave que define como cliente y servidor van a intercambiar la información, los algoritmos de llave secreta que definen que métodos pueden utilizar y un algoritmo de hash de una sola vía. Hasta ahora no se ha intercambiado información secreta, solo una lista de opciones.
2. Server Hello: El servidor responde enviando su identificador digital el cual incluye su llave pública, el conjunto de algoritmos criptográficos y de compresión y otro número aleatorio. La decisión de que algoritmos serán utilizados está basada en el más fuerte que tanto cliente como servidor soporten. En algunas situaciones el servidor también puede solicitar al cliente que se identifique solicitando un identificador digital.  
3. Aprobación del Cliente: El cliente verifica la validez del identificador digital o certificado enviado por el servidor. Esto se lleva a cabo desencriptando el certificado utilizando la llave pública del emisor y determinando si este proviene de una entidad certificadora de confianza. Después se hace una serie de verificaciones sobre el certificado, tales como fecha, URL del servidor, etc. Una vez se ha verificado la autenticidad de la identidad del servidor. El cliente genera una llave aleatoria y la encripta utilizando la llave pública del servidor y el algorítmo criptográfico y de compresión seleccionado anteriormente. Esta llave se le envía al servidor y en caso de que el handshake tenga éxito será utilizada en el envío de futuros mensajes durante la sesión.
4. Verificación: En este punto ambas partes conocen la llave secreta, el cliente por que la generó y el servidor por que le fué enviada utilizando su llave pública, siendo la única forma posible de desencriptarla utilizando la llave privada del servidor. Se hace una última verificación para comprobar si la información transmitida hasta el momento no ha sido alterada. Ambas partes se envían una copia de las anteriores transacciones encriptada con la llave secreta. Si ambas partes confirman la validez de las transacciones, el handshake se completa, de otra forma se reinicia el proceso.  

Ahora ambas partes están listas para intercambiar información de manera segura utilizando la llave secreta acordada y los algoritmos criptográficos y de compresión. El Handshake se realiza solo una vez y se utiliza una llave secreta por sesión.
  En la figura se ilustra el proceso de handshake:

  Intercambio de datos: Ahora que se ha establecido un canal de transmisión seguro SSL, es posible el intercambio de datos. Cuando el servidor o el cliente desea enviar un mensaje al otro, se genera un digest (utilizando un algoritmo de hash de una vía acordado durante el handshake), encriptan el mensaje y el digest y se envía, cada mensaje es verificado utilizando el digest.
  Terminación de una sesión SSL: Cuando el cliente deja una sesión SSL, generalmente la aplicación presenta un mensaje advirtiendo que la comunicación no es segura y confirma que el cliente efectivamente desea abandonar la sesión SSL.

 

2.10 SECURE HYPERTEXT TRANSFER PROTOCOL (S-HTTP)

La propuesta de S-HTTP sugiere una nueva extensión para los documentos, .shttp, y el siguiente nuevo protocolo: 

Secure * Secure-HTTP/1.1 

Usando GET, un cliente solicita un documento, le dice al servidor qué tipo de cifrado puede manejar y le dice también dónde puede encontrar su clave pública. Si el usuario con esa clave está autorizado a acceder al documento, el servidor responde cifrando el documento y enviándoselo al cliente, que usará su clave secreta para descifrarlo y mostrárselo al usuario. 

Las negociaciones entre el cliente y el servidor tienen lugar intercambiando datos formateados. Estos datos incluyen una variedad de opciones de seguridad y algoritmos a utilizar. Las líneas usadas en las cabeceras incluyen: 

• Dominios privados S-HTTP, que especifica la clase de algoritmos de cifrado así como la forma de encapsulamiento de los datos (PEM o PKCS-7). 
• Tipos de certificado S-HTTP, que especifica el formato de certificado aceptable, actualmente X.509. 
• Algoritmos de intercambio de clave S-HTTP, que indica los algoritmos que se usarán para el intercambio de claves (RSA, fuera de bando, dentro de banda y Krb). 
• Algoritmos de firmas S-HTTP, que especifica el algoritmo para la firma digital (RSA o NIST-DSS). 
• Algoritmos de resumen de mensaje S-HTTP, que identifica el algoritmo para proporcionar la integridad de los datos usando funciones de hash (RSA-MD2, RSA-MD5 o NIST-SHS). 
• Algoritmos de contenido simétrico S-HTTP, que especifica el algoritmo simétrico de cifrado en bloque usado para cifrar los datos: 

o      DES-CBC 

o      DES-EDE-CBC 

o      DES-EDE3-CBC 

o      DESX-CBC 

o      IDEA-CFB 

o      RC2-CBC 

o      RC4 

o      CDMF 

 

• Algoritmos de cabecera simétrica de S-HTTP, que proporciona una lista del cifrado de clave simétrica utilizada para cifrar las cabeceras. 

 

o      DES-ECB 

o      DES-EDE-ECB 

o      DES-EDE3-ECB 

o      DESX-ECB 

o      IDEA-ECB 

o      RC2-ECB 

o      CDMF-ECB 

 

• Mejoras de la intimidad de S-HTTP, que especifica las mejoras en la intimidad asociadas con los mensajes, como firmar, cifrar o autenticar. 

 

Uno de los métodos de cifrado disponible en S-HTTP es el popular  PGP .   

2.10.2 SSL vs. S-HTTP

S-HTTP y SSL utilizan aproximaciones distintas con el fin de proporcionar servicios de seguridad a los usuarios de la Red. SSL ejecuta un protocolo de negociación para establecer una conexión segura a nivel de socket (nombre de máquina más puerto). Los servicios de seguridad de SSL son transparentes al usuario y a la aplicación.

Por su parte, los protocolos S-HTTP están integrados con HTTP. Aquí, los servicios de seguridad se negocian a través de las cabeceras y atributos de la página. Por lo tanto, los servicios de S-HTTP están disponibles sólo para las conexiones de HTTP.

Dado que SSL se integra en la capa de sockets, también permite ser usado por otros protocolos además del HTTP, mientras que el S-HTTP está concebido para ser usado exclusivamente en comuniciones HTTP.

2.10.2 Transacción electrónica segura (SET)

El estándar SET para transacciones electrónicas seguras en redes abiertas como Internet fue desarrollado por Visa y MasterCard con la asesoría de empresas como IBM, Netscape y RSA entre otras. Está basado en la criptografía más segura, la criptografía de llaves públicas y privadas RSA. SET agrupa a las siguientes entidades en un solo sistema de pago:

• Tarjeta habiente: aquella persona poseedora de una tarjeta de crédito.
• Emisor : entidad financiera que emite la tarjeta.
• Comerciante : conocido en la literatura SET como el mercader, es la empresa que vende bienes o intercambia servicios por dinero.
• Adquirente : institución financiera que establece una cuenta con el Comerciante y procesa autorizaciones y pagos.
• Intermediario para pago : dispositivo operado por un adquirente o designado a un tercero para que procese los mensajes de pago, incluyendo instrucciones de pago de un tarjeta habiente.
• Marcas : Las instituciones financieras emiten tarjetas con marcas en ellas, para hacer publicidad a la marca y establecen ciertas reglas de uso y aceptación de sus tarjetas y proveen redes que las interconectan a las instituciones financieras.
• Terceros: los emisores y los adquirentes pueden asignar a terceros para el procesamiento de las transacciones.  

Para poder hacer una transacción SET cada uno de los participantes debe estar registrado por una entidad certificadora, que como su nombre lo indica emite un certificado electrónico en el que hace constar la identidad de una entidad.

  SET pretende masificar el uso de Internet como "el mayor centro comercial del mundo", pero para hacerlo SET fue diseñado para lograr:  

• Confidencialidad de la información.
• Integridad de los datos
• Autenticación de la cuenta del tarjeta habiente
• Autenticación del comerciante
• Interoperabilidad  

A diferencia de una transacción o compra persona a persona, por teléfono o correo, donde la transacción la inicia el comerciante, en SET la transacción la inicia el tarjeta habiente.

  Una vez todos los participantes estén registrados ante una autoridad certificadora, pueden empezar a realizar transacciones seguras. Veamos una solicitud de compra:  

• El tarjeta habiente inicia la solicitud luego de haber seleccionado los ítem a comprar, antes de iniciar el proceso SET, el tarjeta habiente ha sido presentado con un formulario que ha aprobado y en donde se especifican las mercancías a comprar y los términos del pago y por supuesto que tarjeta de crédito a utilizar (no el número). Para poder enviar mensajes SET, es necesario obtener una copia de la llave pública del intermediario de pago. El proceso se inicia cuando se hace una solicitud del certificado del intermediario. El mensaje del tarjeta habiente indica que tarjeta va a ser utilizada para la transacción.  
• El comerciante asigna un identificador único a la transacción y le envía al tarjeta habiente su certificado y el certificado del intermediario de pago para la tarjeta seleccionada además del identificador de la transacción.  
• El tarjeta habiente recibe la respuesta, verifica la autenticidad de los certificados. El software SET del tarjeta habiente genera la orden de compra y la información de pago y una firma doble para ambas obteniendo y concatenando los menssager digest (hash) de las dos, computando el digest de la concatenación y encriptándolo utilizando su llave privada. El software SET del tarjeta habiente genera una llave aleatoria simétrica de encriptación y la utiliza para encriptar la firma doble. Luego se encripta el número de cuenta del tarjeta habiente así como también la llave simétrica utilizando la llave pública del intermediario de pago. Finalmente se transmite el mensaje que contiene la órden de compra y la información de pago.  

Cuando el comerciante recibe la orden, verifica la firma del tarjeta habiente utilizando su certificado y además chequea que el mensaje no haya sido alterado, haciendo uso del messager digest. El comerciante envía la información de pago al intermediario. Luego de procesar la información de la orden, el comerciante genera y firma un mensaje de respuesta en el que indica que la orden fue recibida. Si luego se logra autorización del pago, el comerciante envía las mercancías o presta el servicio por el que se le pagó.  

• Cuando el software de la tarjeta habiente recibe la respuesta del comerciante, verifica la autenticidad de éste, si todo sale bien, entonces muestra al usuario un mensaje de que la orden se realizó exitosamente. La tarjeta habiente puede luego averiguar el estado de su orden enviando una solicitud en un mensaje diferente, para saber si fue aprobado el pago, cuando le fue enviada la mercancía, etc.  

Como se pudo haber dado cuenta, no es necesario hacer la autorización antes de enviar un mensaje al tarjeta habiente, este proceso se puede llevar a cabo después entre el comerciante y el intermediario de pago. El proceso es el siguiente:  

• El software del comerciante genera y firma una solicitud de autorización, la cual incluye la cantidad a ser autorizada, el identificador de la transacción de la información de la orden y otra información sobre la transacción. La solicitud es encriptada utilizando una nueva llave simétrica generada aleatoriemente, que a su vez sé encripta utilizando la llave pública del intermediario. La solicitud de autorización y las instrucciones de pago son entonces enviadas al intermediario.   Cuando el intermediario de pago recibe la solicitud, desencripta y hace las verificaciones necesarias tanto del comerciante como del tarjeta habiente, también se verifica que el identificador de la transacción sea el mismo para el tarjeta habiente y para el comerciante. El intermediario entonces formatea y envía la solicitud de autorización al emisor de la tarjeta. Luego de recibir una respuesta, el intermediario firma y envía la respuesta al comerciante. La respuesta incluye la respuesta del emisor y una copia del certificado del emisor, opcionalmente puede haber un token de captura que el intermediario puede necesitar para procesar una solicitud de captura. Este token solo es necesario si es requerido por el adquirente.  
• El comerciante recibe la respuesta del intermediario, desencripta y hace las verificaciones. Almacena la respuesta de autorización y captura el token que será utilizado a través de una solicitud de captura. El comerciante entonces puede proceder a enviar las mercancías o prestar el servicio.  
• Luego de procesar la orden de un tarjeta habiente, el comerciante solicitará que se le pague, habrá un lapso de tiempo significativo entre la solicitud de autorización y la solicitud de pago (captura), veamos el proceso:  
• El software del comerciante genera y firma una solicitud de pago que incluye la cantidad final de la transacción, el identificador de la misma y otra información adicional. Nuevamente se genera una llave simétrica aleatoria, que sé encripta con la llave pública del intermediario de pago. Se envía al intermediario la solicitud de captura y opcionalmente el token de captura si esté venía en la respuesta de autorización. Varias solicitudes de captura pueden ser enviadas en un mismo mensaje para su procesamiento por lotes.  
• El intermediario de pago verifica la autenticidad e integridad del mensaje que le llega y utiliza esta información para hacer una solicitud de pago al emisor a través de un sistema de pago. Cuando llegue la respuesta el intermediario firma y encripta el mensaje y se le envía la respuesta al comerciante.
• El comerciante almacena la respuesta para hacer balance con el pago recibido del adquirente.

 Las amenazas de seguridad al comercio Internet son innumerables, pero la industria está maniobrando con rapidez para ofrecer a los consumidores un mecanismo seguro.

Una vez extendidas las redes, no cabe duda de que en algunas aplicaciones telemáticas resulta imprescindible incorporar servicios de seguridad para que cubran los objetivos para los que fueron previstas. En aplicaciones de nuevo desarrollo sería conveniente que se tengan en cuenta los requerimientos de seguridad antes de su implantación.

En la actualidad la tecnología existente permite incluir seguridad en las aplicaciones con unos costes razonables. Los interfaces de usuario deben ser suficientemente amigables para conseguir que los servicios de seguridad añadidos dificulten lo menos posible el manejo de las aplicaciones.

3. EMPRESA VIRTUAL

El comercio electrónico consiste en efectuar todas las operaciones inherentes al comercio convencional como comprar, vender, solicitar productos o servicios, etc., a través de un medio electrónico. Esto se realiza en dos niveles: empresa a empresa y empresa a consumidor.

Cabe aclarar que en el comercio electrónico lo ideal sería que no compita con las formas habituales de comprar, las complemente. Específicamente, el comercio electrónico empresa-consumidor es aquel que se refiere a las relaciones de negocio entre el productor y el consumidor final. Los beneficios de este tipo de comercio son muy grandes; el cliente no tiene que moverse de su casa, su capacidad de elección es mucho mayor, no necesita trasladarse a los lugares de compra para buscar distintas opciones y elegir la más conveniente, además de la facilidad de comprar con un simple número de tarjeta de crédito y esperar la entrega de los productos adquiridos en su propio domicilio. Además, los riesgos existentes en este tipo de comercio se deben a la carencia de costumbre por parte del consumidor y la falta de una cultura electrónica que posibilite la masificación. También es posible que los tiempos de entrega no sean los esperados, aun así su desarrollo es alentador.

Cabe mencionar, que todos los negocios que no sean capaces de evolucionar y adoptar este sistema de comercialización, no podrán permanecer en el medio y serán destruidos por la enorme competencia.

Basta con ver la tendencia de las empresas llamadas "punto-com", que día a día van desapareciendo; Es necesario el estar consientes, considerar la situación y el ver al comercio electrónico como una excelente herramienta de apoyo, pero no como único medio de hacer negocios.

Gráfica 1. Recortes en empresas punto-com durante el año 2000

Como es conocimiento de todos, una de las empresas americanas que nos puede servir de ejemplo es Amazons, quien actualmente solo a podido sobrellevar su rentabilidad, aun y cuando a su inicio era una buena promesa de negocio, a la cual muchos le apostaron invirtiendo en acciones aun y cuando esta solo tenía perdidas.

Como ya se había mencionado, una de las principales razones de esta tendencia negativa es la desconfianza del consumidor y la falta de información del mismo, también se debe a la propaganda negativa que dan las personas que por alguna razón no recibieron el servicio esperado por el negocio, ya sea por tiempo, calidad, precio o simple apatía.

Uno de los puntos clave es la seguridad, y al hablar de seguridad no sólo se refiere a que las transacciones sean seguras, sino que esa seguridad sea respaldada por una agencia externa que ofrezca este servicio, lo que le garantiza a los consumidores que no es sólo una página Web más en la Red u otro negocio dudoso que busca hacer dinero rápido y fácil.

Cuando se han estudiado las razones por las cuales las compañías llamadas punto-com han fracasado, se ha llegado a la conclusión de que no todo es por una falta de confianza y mala planeación de inversión (como todos dicen), sino por errores de mayor profundidad, como lo son el no contar con alguna ventaja competitiva (algo básico) o por no brindar beneficios tangibles a los consumidores.

Se ha discutido mucho sobre la manera correcta de hacer comercio electrónico, sobreponiendo los puntos clave que puedan llevar a un negocio a contar con ventajas competitivas y beneficios. La mayoría concuerdan con que se debe tener en cuenta desde inicios del proyecto diferentes puntos como lo son: Mercadotecnia y sus 4P´s (Producto, Precio, Plaza y Promoción), el público al cual se van a dirigir, el diseño, la publicidad y la adaptación al cambio.

3.1 CREAR UNA EMPRESA EN INTERNET

Una de las dudas que se le plantea al emprendedor, tras la irrupción de Internet en el mundo de los negocios, es "cómo creo mi empresa en Internet". Hasta tal punto los "expertos de la Nueva Economía" nos han repetido que Internet lo cambia todo y que los negocios virtuales son distintos a todo lo visto jamás que muchas personas llegan a pensar que crear una empresa en Internet es algo diferente a hacerlo en el "mundo real". Vamos a examinar las características de estas nuevas empresas virtuales para comprender que no existe ninguna diferencia substancial entre crear una empresa en el mundo virtual o en el mundo real.

3.2 ¿QUÉ ES UNA EMPRESA VIRTUAL?

A falta de definición formal por parte de los Nuevos Economistas, entenderemos que estamos ante una empresa virtual cuando esta empresa realice la mayor parte de su negocio "en Internet".

Esto significa que se relacionará con sus clientes y proveedores vía Internet, sus procesos sean fundamentalmente automatizables en Internet y el negocio pueda en teoría "funcionar sólo". Estos negocios "sólo Internet" también tienen un nombre (en la nueva economía todo tiene un nuevo nombre, cuando no dos o tres): son los pure players, los "jugadores puros", los que sólo están en Internet.

A poco que se piense, es fácil comprobar que cualquier empresa virtual tiene, en realidad, poco de virtual. El sueño de muchos ciberemprendedores de estar tumbados en la playa mientras su "web" produce millón tras millón no es más que una falacia. Cualquier negocio real o virtual va a pedir muchas, muchas horas al equipo emprendedor, horas bien "reales".

3.3 ¿SON REALMENTE DISTINTAS LAS EMPRESAS VIRTUALES?

La verdad es que resulta fácil llegar a pensar que una empresa virtual es realmente distinta a una "empresa del mundo real". Las posibilidades que brindan el uso   intensivo de los sistemas de información y la capacidad de comunicación potencial con otros agentes del mercado pueden hacer que dos empresas del mismo sector, una "tradicional" y una "virtual" sean realmente distintas.

Sin embargo, en un mismo sector "tradicional" no sería difícil encontrar dos empresas que sean también totalmente distintas, ya sea por su distinta aplicación de la informática, por el ámbito regional en que operan o por su distinto uso de los canales de distribución o del marketing. Y sin embargo, nadie pensaría que están en sectores distintos.

Entre las empresas en general, resulta fácil comprender que las características del negocio de, p.e., un fabricante de microprocesadores no son las mismas que las de un restaurante de una gran capital. Son empresas muy distintas; pero siguen siendo empresas "reales", nadie pensaría que pertenecen a mundos distintos.

Y, si bien, es cierto que las empresas virtuales tienen unas características distintas a las de muchos negocios tradicionales de su mismo sector (diferencias cada vez menores, porque los negocios tradicionales tampoco permanecen inmóviles), estas diferencias se han exagerado tanto que se ha llegado a crear toda una Nueva Economía.

Todo esto se traduce, a efectos prácticos para el emprendedor dispuesto a crear una empresa virtual, en la necesidad de conocer estas características diferenciales para tratar de explotarlas al máximo a la vez que en la necesidad de evitar caer en la trampa de olvidar o desdeñar aspectos básicos de todo negocio, sea "virtual" o "real".

3.4 LA CREACIÓN DE LA EMPRESA VIRTUAL

3.4.1 El Plan de Empresa

Previamente a la creación de toda empresa, es aconsejable que el emprendedor analice y estudie su futura empresa mediante un Plan de Empresa. De nuevo, tal vez convenga recordar que la finalidad del Plan de Empresa no es conseguir financiación de ningún business angel ni presentarse a ningún concurso de ciberemprendedores (aunque son dos aplicaciones útiles del mismo). Insistiremos una vez más en que el Plan de Empresa no es más que el producto de algo más importante que es el proceso de reflexión y análisis del futuro negocio que todo emprendedor debe realizar antes (y también después) de crear su empresa.

Por tanto, el plan de empresa de una empresa virtual no es distinto de cualquier otro plan de empresa. Con todo, dado la importancia de la base tecnológica sobre el que se asentará la nueva empresa es conveniente un análisis lo más completo posible de este punto. También deberán estudiarse detalladamente  los procesos automatizables (incluyendo las relaciones con clientes y proveedores) pues lógicamente estos procesos serán los primeros en implantarse en el "servidor web" de la nueva empresa.

3.4.2 El proceso de creación

Una vez decidida la creación de la empresa virtual, el proceso de constitución formal es idéntico al de una empresa normal.  En este punto es muy importante no caer en algunas trampas que esperan a una nueva empresa virtual, especialmente la fundado por el emprendedor "técnico experto en Internet" que jamás ha conocido el funcionamiento completo de una empresa.

Como quiera que técnicamente es muy sencillo "crear una web desde casa" y "empezar a vender", el emprendedor puede caer en la tentación de pensar que no está sujeto a las leyes y reglamentos que rigen para el resto de empresas. Sin embargo, el ejercicio de cualquier actividad económica está sujeto a obligaciones formales y a impuestos diversos. El emprendedor no debe pensar que ya se ocupará de los aspectos legales cuando la cosa vaya bien. Legalmente es obligatorio resolver determinados aspectos legales antes de empezar.

Otra trampa no menos importante, es creer que la facilidad "para empezar" va a mantenerse siempre y la empresa quedará libre de cargas propias de las "antiguas empresas", cosas desagradables como alquiler de locales o los contratos con el personal. Si la empresa realmente empieza a funcionar, pronto, muy pronto, el nuevo emprendedor descubrirá que su empresa y sus problemas no tienen nada de virtuales.

Y para empeorar la situación, la actividad en Internet es fundamentalmente internacional. Esto complica las cosas pues aparecen temas que muchas empresas "tradicionales" no deben contemplar como transportes internacionales y aduanas, distintos idiomas y legislaciones, horarios diversos, etc...

Todos estos puntos deben considerarse al crear una empresa virtual, y sobretodo, mantenerse alerta y con capacidad suficiente para adoptar los rápidos cambios que esperan a un negocio en Internet que empieza a prosperar (y en Internet puede empezar a prosperar en semanas).

3.4.3 Características propias de la empresa virtual

Ya hemos intuido algunos aspectos diferenciales de las empresas "virtuales". Examinemos con detalle otros no menos importantes. Con todo conviene advertir que de la misma manera que las empresas tradicionales son realmente distintas entre sí, las empresas "virtuales" también pueden llegar a ser muy distintas entre ellas (basta pensar en la diferencia entre dos negocios como Yahoo! y Amazon) por lo que las características que se citan a continuación deben ser revisadas y ampliadas para cada nuevo negocio virtual.

3.4.3.1 Tecnología Internet

Por definición, una empresa virtual sería aquella que desarrollara todo su negocio en ese "mundo virtual". Para entender qué es el "mundo virtual" hay que comprender qué es Internet. Internet es simplemente una enorme red de ordenadores y su finalidad era, es y será comunicar a las personas que usan esos ordenadores. Comprender este simple hecho, básico pero fundamental, ayudará a no perderse entre las "maravillas" (y algunas tonterías) de la Nueva Economía.

3.4.3.2 Red de ordenadores

El elemento fundamental que soporta Internet es el conjunto de ordenadores y, cada vez más, otros elementos activos como teléfonos móviles y otros aparatos electrónicos. Estos "nodos" se conectan mediante un sistema de comunicaciones de manera que desde cualquier punto debería ser posible alcanzar cualquier otro punto de la red.

A efectos prácticos para la nueva empresa esto significa que se va a hacer un uso intensivo de la informática. Tal vez esto no sea problema para el típico técnico-ciberemprendedor, pero puede ser un problema cuando busque personal y puede ser una catástrofe si son *sus clientes potenciales* los que tienen dificultades en el uso de su sistema. Conviene tener muy presente este aspecto básico del negocio, que por obvio no debe de dejar de analizarse.

3.4.3.3 Comunicación entre personas

La finalidad de Internet es la de permitir comunicarse con otras personas. (Aunque existe una curiosa aplicación de Internet consistente en crear un gran negocio fantasma para luego vendérselo a algún incauto por mucho dinero)  Y la finalidad de los negocios en Internet es obtener provecho de esas posibilidades de comunicación entre los distintos agentes del mercado: las empresas y sus clientes, los proveedores, empleados, la inevitable Hacienda Pública, etc. 

Esto implica que un negocio en Internet debe ser esencialmente capaz de comunicarse y hacerlo con las características propias del medio, es decir, de forma flexible e interactiva. Una empresa no está en Internet porque tiene una "página web", pero si lo estará si usa eficientemente su correo electrónico. Las empresas virtuales deberán centrarse en estos aspectos de comunicación más allá de donde llegan la empresas tradicionales. Finalmente, si bien comunicarse, p.e., con los clientes es bueno y comunicarse mucho con los clientes es mejor, soportar una avalancha de pedidos, o peor de quejas, puede superar la capacidad de respuesta de la empresa.

3.4.3.4 El Marketing en Internet

Uno de los nuevos descubrimientos de la Nueva Economía es el Marketing en Internet. En realidad el Marketing en Internet como tal no existe. Existe el Marketing (el de toda la vida) y, como consecuencia de las dos características anteriores (red de ordenadores y comunicación flexible), surgen nuevas e interesantes posibilidades de comunicación y promoción con el mercado y los clientes que antes eran impensables.

Por tanto, un factor diferencial de las empresas virtuales está en los métodos y técnicas que usan para contactar, negociar y relacionarse en general con sus clientes. Usar métodos de comunicación tradicionales en un medio como Internet puede no dar los resultados deseados. Y no sólo es la "comunicación y promoción" de productos lo que debe revisarse al entrar en Internet, incluso el "precio" o hasta el "producto" debe ser objeto de análisis y reflexión.

3.4.3.5 Globalización

Ya hemos visto el aspecto internacional inherente a Internet. No hay diferencia en estar en Internet para los compatriotas y estarlo para los extranjeros. Esto significa que, incluso en el caso de que no lo desee, clientes potenciales (y proveedores) de cualquier parte del mundo pueden comunicarse con su empresa. No estaría de más tener una política clara a este respecto. Internacionalizar una empresa puede ser positivo... siempre que eso forme parte de su estrategia.

De cara a la nueva empresa virtual, este aspecto puede presentar su vertiente positiva desde el momento en que el mercado potencial es enorme en comparación con el mercado local. Pero también presenta sus complicaciones derivadas de las distintas reglamentaciones y leyes de los distintos países o, simplemente, de la capacidad de operar en distintos idiomas o monedas (de nuevo, potencialmente, todos!).

3.4.3.6 Logística

Como consecuencia de esta capacidad de vender globalmente, la nueva empresa virtual debe estar preparada para transportar sus productos hasta sus clientes. Si un emprendedor crea una nueva tienda "real" esperará que los clientes vengan a comprar a ella. Pero si crea una tienda "virtual" en Internet, entonces son los clientes quienes esperarán que les llevan los productos hasta su casa. Las complicaciones derivadas de este pequeño detalle pueden dar al traste con más de una idea de negocio.

3.4.3.7 Teletrabajo

Internet permite, a priori, que los empleados de una nueva empresa trabajen en lugares distintos. Esto puede suponer una pequeña ventaja para la empresa virtual al implicar un menor coste derivado del mantenimiento de una oficina, p.e. Pero de nuevo, conviene no dejarse engañar por esta pequeña "ventaja" inicial. Si las cosas prosperan, la empresa virtual necesitará pronto (y en Internet, pronto es realmente pronto) empleados a tiempo completo bien comunicados y coordinados ... tal como lo están en una misma oficina.

3.5 LA ENTREGA DEL MATERIAL

Otro de los problemas actuales al que se enfrentan las empresas virtuales es el de la entrega del material. Lo que en muchos comercios es algo tan simple como llenar una bolsa que se llevará el cliente, en una empresa virtual se convierte en hacer llegar la compra a la dirección que nos indique el cliente, en perfectas condiciones del producto y, si puede ser, hacerlo ya.

Si el negocio virtual vende información, puede ser relativamente fácil entregarla de forma inmediata, pero como saben las primeras empresas virtuales que intentan servir alimentos o productos perecederos, un pequeño retraso en la entrega puede convertirse en algo realmente desagradable para el cliente.

La entrega de pequeñas mercancías pueden suponer un costo de transporte superior al importe de la misma compra, lo que provoca que muchos clientes desistan en su pedido. El servicio de entrega estará normalmente en las manos de empresas terceras con el consiguiente riesgo para nuestra reputación en caso de problemas. La facilidad de compra por parte de clientes desde el extranjero puede quedar anulada por la dificultad de entrega del material bien sea por motivos de costes o de aduanas. Todo eso por no contar con Hacienda y la complejidad que en determinados casos puede suponer el cálculo de los impuestos indirectos sobre las ventas.

Empieza a quedar claro que no todos los negocios se adaptan por igual a la idiosincrasia del comercio electrónico. Y aún así, debe quedar claro que "montar una empresa virtual" es algo que va mucho más allá del aspecto meramente tecnológico.

3.6 LA "TRAS-TIENDA" VIRTUAL DE TODA EMPRESA VIRTUAL

Como en toda empresa, en nuestra empresa virtual será necesario desenvolverse con facilidad por la trastienda. Ya hemos visto la necesidad de gestionar fácil y correctamente un amplio catálogo de productos.

3.6.1 Procesos internos

Normalmente, será el software del e-commerce el que proporcione capacidades de gestión de mercancías, almacenes, proceso de pedidos, facturación, etc. Y desde luego es importantísima la integración de los módulos de la empresa virtual con el resto del Sistema de Información de la empresa. El paso de datos a contabilidad, control de almacén, facturación y cuentas a cobrar debería estar automatizado en la medida de lo posible.

Y no sólo es una buena idea integrar la Empresa Virtual en nuestro Sistema de Información, también puede ser competitivamente ventajoso estar conectados con nuestros proveedores de mercancías y los servicios de logística para poder proporcionar información puntual y exacta a los clientes que pregunten acerca de sus pedidos pasados, presentes o incluso futuros.

3.6.2 Información de marketing

La información obtenida desde la empresa virtual es una fuente de primera importancia para conocer cuáles son los deseos y necesidades de nuestros clientes y adaptar o crear productos y servicios que atiendan esos requerimientos.

A diferencia de las actuales bases de datos que contienen poca más información acerca del cliente que sus datos personales y algún dato de tipo económico, una buena base de datos generada a partir de una buena tienda virtual puede obtener verdaderos patrones de comportamiento (y de compra) de individuos o de grupos.

El potencial de esa información desde el punto de vista del marketing está aún por explotar. La posibilidad de ofrecer productos o servicios adicionales, sean propios (venta cruzada) o de terceros (productos complementarios o financiación, p.e.), aumenta el potencial de negocio pero también la complejidad de la empresa virtual. Los mailings personalizados, las ofertas puntuales dirigidas a clientes perfectamente calificados, etc. son algunas de las posibilidades de una buena gestión de la información generada por la empresa virtual.

3.7 USTED ES UNA EMPRESA VIRTUAL QUE HACE COMERCIO ELECTRÓNICO

Cuatro pasos fundamentales:

1. Venta Online, Usted debe preparar su sitio para ésta importante y responsable actividad, mediante creación de Catálogos, Guías de Productos y Servicios, "Vidrieras y Góndolas Electrónicas", "Carritos de Compras" así como brindar sistemas de pago seguro, sistemas de envío, sistema de devoluciones, etc, exactamente como lo haría en su mundo físico.

2. Procesos Administrativos, exactamente como en la contraparte física, Usted deberá prever y facilitar la tramitación administrativa, con máximo criterio analítico pues entre su sitio y sus clientes no existirá la siempre útil y difícilmente reemplazable ayuda humana. Evidentemente Usted realizará grandes economías con la gestión electrónica, que le aconsejamos canalizar en sensibles descuentos a fin de ir captando clientes hacia ésta nueva forma de comercializar sus productos y servicios.

 3. Red Interna de Cómputo, le aconsejamos disponer de su propia red de cómputo interna con la cual coordinar las aplicaciones que se llevan a cabo en su empresa virtual en Internet. Al respecto, le recomendamos ver nuestra Guía Intranet.

De la misma forma que Usted se está volcando al e-Commerce es lícito pensar que todos los participantes activos de su negocio también lo están haciendo.

Puede pensar, ¿porque no?, en usar la misma red pública Internet para comunicarse con sus empleados, proveedores, distribuidores y clientes en la medida que ellos tengan acceso similar al suyo y se pongan de acuerdo en establecer ciertas reglas de juego bajo la forma de "protocolos de comunicación".

Así, uno de sus vendedores podría consultar desde su casa o desde un Cibercafé, si hay o no stock de un cierto producto y hacer reservas del mismo empleando Internet. Lo harán como si hablaran por teléfono pero con una diferencia sutil: no pagarán servicios de larga distancia pues ¡¡la red se encarga de las transmisiones troncales, nacionales e internacionales a costo igual a cero. Esa es la maravilla económica de Internet. Con todo esto usted ya es un experto en e-commerce.

 4. Intranet y Extranet, finalmente Usted ha logrado tener su empresa virtual con la imprescindible infraestructura física: talleres, máquinas, ingenieros, capataces y obreros, su propia red interna de computación y un mínimo de empleados capacitados en Tecnologías de la Información, Comunicaciones e Internet. Ver nuestra Guía Intranet.

 Este camino ideal no siempre se completa y no es necesario para todas las empresas. Demos por sentado que tanto Usted, el dueño de la empresa, como sus vendedores, sus principales proveedores y sus principales clientes tienen computadora y están conectados a Internet. Es decir, en Internet están: su mercado, sus clientes y su propia gente.

Crear una empresa virtual no es nada distinto de crear una empresa real. Son lo mismo. Pero para crear y desarrollar con éxito una empresa "en Internet" hay que conocer las características de esta tecnología y su aplicación a los negocios. Aunque tampoco estaría de más conocer las características propias del negocio básico, aquel que se explota usando precisamente esas nuevas herramientas.

Después de todo, la empresa virtual de éxito cada vez tendrá menos de virtual. Inicialmente, casi todo la empresa "podrá estar" en Internet, pero a medida que prospere la "parte real", por pequeña que sea, terminará por hacerse enorme mientras que la parte "virtual" seguirá manteniendo un tamaño relativamente estable. No estaría de más prepararse para este "incidente".

Conviene olvidar algunas de las grandes y absurdas mentiras de los "nuevos expertos" acerca de las empresas "virtuales". Toda empresa, sea real, virtual o como se le quiera llamar, debe centrarse desde el primer momento en generar un cash-flow sano. Lo contrario es una solemne barbaridad. (A no ser, claro, que pretenda venderle el negocio a alguien antes de que estalle).

4. LOGÍSTICA

En esta sección se describe de forma muy general, las posibles áreas de acción de "Virtual.com", dando soporte, las funciones que debe realizar, la información que maneja y todos los posibles factores que afecten su desarrollo.

En forma general el sistema deberá proporcionar soportes a tareas como:

• Gestión de pedidos de clientes
• Manejo de datos de los afiliados
• Manejo de información de los pedidos
• Proporcionar información solicitada por los clientes
• Manejo de la información financiera de los clientes

Es importante dar de alta en el sistema una serie de datos de los clientes que permitan agilizar la gestión de un pedido. Los pedidos de los clientes de elementos de hardware se basan en la información de precios, rendimiento, etc. disponible en el sistema.

Cuando llega el pedido de un cliente (por correo electrónico generalmente), se comprobará si hay suministros disponibles en el inventario y se ingresa al sistema interno (lo cual no es muy importante describir en este momento).

Además el sistema debe estar en capacidad de recibir y almacenar los datos de los clientes que accedan al portal lo cual permita proporcionar los suministros o servicios ofrecidos y agilizar la gestión de los pedidos. También debe identificar si un usuario es cliente ocasional o afiliado a algún tipo de crédito.

4.1 ORGANIZACIÓN DE LAS EMPRESA

El proyecto de "Virtual.com" físicamente está formado por:

·         Dirección: toma las decisiones principales sobre el desarrollo del diseño y funcionamiento del proyecto.

·         Departamento de compras: compra y nacionaliza los elementos hardware importados.

·         Departamento de diseño: trata todo sobre el diseño del portal.

·         Almacén: guarda los componentes hardware y distribuye los pedidos.

·         Departamento de mantenimiento: se encarga de manejar los servicios de reparación y mantenimiento a los usuarios o afiliados.

4.2 GESTION DE LA EMPRESA

4.2.1 Desarrollo del pedido

El sistema deberá proporcionar información a sus clientes sobre los nuevos elementos hardware disponibles o los nuevos servicios prestados a través de publicidad vía correo electrónico.

Durante la realización de un pedido, el sistema deberá ser capaz de proporcionar información al cliente sobre los artículos, su valor y el valor total parcial del pedido, además de declarar de forma muy especifica el tiempo de entrega del pedido.

También es importante poder informar si los suministros o servicios ofrecidos están disponibles o no para poder satisfacer la necesidad del cliente.

4.2.2Desarrollo de compra a proveedores

Los proveedores de partes y suministros serán fabricantes de hardware confiables, a quienes se le compraran versiones OEM (Original Equipment Manufacturer) de sus productos. La gestión de un pedido a proveedores debe ser acordada entre la dirección, el almacén y el departamento de compras; para que esta sea equilibrada con los inventarios de suministros del almacén.

Lo ideal es mantener cantidades manejables de suministros almacenadas para poder surtir los pedidos a tiempo. Si un suministro solicitado por un cliente no se encuentra en el almacén, el encargado del almacén se deberá poner e contacto con la dirección de compra y esta realizará el pedido correspondiente.

• Requisitos

Los pedidos a proveedores serán registrados en el sistema informático de la empresa y deberán estar disponibles para cuando sean solicitado. Dichos pedidos deberán ser proporcionados a las necesidades futuras de la empresa.

4.2.3Recepción de mercancías

El proceso de recepción de mercancías deberá ser un proceso muy importante para la naturaleza delicada de los suministros. Cuando se reciba un pedido al proveedor se deberá confirmar que lo recibido fue lo realmente pedido y luego deberá ser almacenado en un lugar correspondiente, para así evitar una irregular distribución de los componentes.

• Requisitos

El sistema interno deberá ser capaz de proporcionar información de la distribución y localización física del almacenamiento de los suministros recibidos. Esto permitirá planificar de forma anticipada la recepción y almacenamiento adecuados de los pedidos.

4.2.4 Envíos

Este tipo de empresas no tiene una relación directa con sus clientes, solo a través de los encargados de distribuir los pedidos, por eso es de suma importancia para las mismas. Pero también se hace necesario que a medida que empiece su desarrollo comercial expanda su logística y planta física con la gestión de su propio almacén y entrega o distribución de sus propios pedidos, lograra bajar costos sin repercutir sobre el cliente.

4.3 CARACTERÍSTICAS DEL USUARIO

El diseño del sistema deberá ofrecer una interfaz interactiva, fácil de manejar. El sistema debe ofrecer agilidad para diligenciar los pedidos y accesibilidad a la información de los artículos ofrecidos.

4.3.1 Restricciones

Este proyecto intentará implementar las políticas y procesos de negocios que se manejan actualmente, por la influencia del desarrollo de nuevas tecnologías.

El sistema será desarrollo bajo el paradigma cliente/ servidor, proporcionando funciones que permitan el registro de usuarios, la modificación de los datos del usuario y la información de la disponibilidad de los suministros y servicios ofrecidos.

4.3.2Dependencias

El sistema seguirá el concepto de la arquitectura cliente/ servidor, por lo que la disponibilidad del sistema dependerá de la conexión entre las máquinas en las que residirá el programa cliente y la máquina servidora de datos.

4.4 REQUISITOS ESPECIFICOS

En esta sección describimos los requisitos funcionales que deberán satisfacer las necesidades del sistema.

Estos requisitos se han especificado teniendo en cuenta los posibles criterios que se presentarán durante el desarrollo del proyecto.

4.4.1 Requisitos funcionales

4.4.1.1 Gestión de clientes

El desarrollo del proyecto se basa básicamente en el manejo de los pedidos de los clientes, la gestión de los demás departamentos no es muy importante especificar en este momento.

Req (1) Para todos los usuarios ocasionales que se quiere dar de alta en el sistema, introducirá los datos básicos como: nombre, teléfono, fax, e-mail, url.

Req (2) Si un cliente desea acceder a los créditos abiertos dispuestos por Virtual.com, deberá además de ingresar los datos básicos deberá ingresar referencias bancarias, propósito de la organización, tipo de tecnología que maneja, referencias crediticias.

Req (3) El sistema deberá permitir la modificación de los datos del cliente.

Req (4) Los pedidos de los clientes serán datos de alta en el sistema.

Req (5) Si el usuario es un afiliado debe ingresar su número de identificación seguido por el pedido y su valor.

Req (6) El sistema debe estar en posibilidad de comparar el valor total del préstamo con el del tope del crédito disponible.

Req (7) Cuando se recibe un pedido se comprobará si se puede servir o no, según las existencias del almacén y si no se le informa oportunamente a los clientes interesados y se realizará el pedido a los proveedores.

4.4.2 Requisitos de interfaz externo

4.4.2.1Interfaces del usuario

El diseño debe ser orientado a las facilidades de uso, interactivo y debe contener la información de los suministros y servicios ofrecidos.

• Interfaces hardware: El hardware debe ser el necesario para el desarrollo del concepto del cliente/ servidor.
• Interfaces de comunicación: Las comunicaciones se realizan tipo red con una conexión tipo URL, esta será muy importante para el desarrollo del sistema, la cual, a todos los efectos considerará que está en la misma red que el servidor.

4.4.3 Requisitos de desarrollo

El ciclo de vida para el diseño del sistema será el de prototipo evolutivo, de manera que permita incorporar fácilmente cambios que permitan mejorar el diseño del mismo.

4.5 REQUISITOS TECNOLÓGICOS

La aplicación cliente podrá ser ejecutada sobre PC con una configuración mínima de:

• Procesador: Pentium 200Mhz
• Memoria: 64 Mb
• Tarjetas: Ethernet o MODEM

Los PC deberán tener configuración para trabajar en internet, y este estará optimizado para internet explorer 3.0 y versiones superiores.

• Atributos:

o      Seguridad: Cuando un usuario tiene acceso al portal para acceder a los clientes deberá ingresar su identificación (login) y el sistema deberá comprobar que se trata de un usuario autorizado.

Pero también podrá acceder como usuario ocasional obtendrá solo una cantidad de información y prebendas limitadas, teniendo acceso a las funciones que le corresponden.

Ningún usuario podrá acceder a la información de otro usuario dándole de baja o utilizando su login para hacer pedidos a nombre de otros.

CONCLUSIONES 

Existe una fuerte demanda de aplicaciones computaciones en el Web, que aumenta cada día junto con su complejidad. La adopción de tecnologías muy nuevas, y la gran demanda por estas, contribuyen a la conocida "crisis de software", pero en este caso en el Web. A esta crisis que no se es capaz de dar solución con las herramientas y metodologías existentes, pretende aliviarse con un ambiente integrado que satisfaga las distintas etapas y enfoques de desarrollo en el web de manera de cumplir con la promesa del web, de ser una "amplia tela mundial".

Crear una empresa virtual no es nada distinto de crear una empresa real. Son lo mismo, pero para crear y desarrollar con éxito una empresa "en Internet" hay que conocer las características de esta tecnología y su aplicación a cualquier campo de comercio.

Aunque tampoco estaría de más conocer las características propias del mercado al cual queremos acceder, aquel que se explota utilizando precisamente estas nuevas herramientas brindadas por Internet. Después de todo la empresa virtual de éxito tendrá cada vez menos de virtual.

Inicialmente casi toda la empresa "podrá estar" en Internet, pero a medida que prospere la "parte real", por pequeña que sea, terminará por hacerse enorme mientras la parte "virtual" seguirá manteniendo un tamaño relativamente estable.

Autor:

Jhon Barraza Estrada

spawn10814@hotmail.com