Tareas administrativas a través de internet
Enviado por jiratree • 20 de Noviembre de 2023 • Resumen • 13.959 Palabras (56 Páginas) • 33 Visitas
TEMA 03.
Tareas administrativas a través de internet.
MD
TEMA 03. Tareas administrativas a través de internet.
Introducción.
Realizar tareas administrativas a través de internet implica establecer relaciones con terceros, administraciones públicas, empresas, clientes, etc., mediante comunicaciones o con intercambio de documentación, facturación, contratación electrónica y otras gestiones.
Debes tener claro que lo primero es contar con los mecanismos que te permitan identificarte en internet con plenas garantías jurídicas, y la manera más importante que existe es mediante el certificado electrónico y la firma electrónica. Esta idea se conoce como Identidad digital.
Los trámites y procesos que una empresa puede gestionar a través de la red pueden ir desde comunicaciones a través de internet con clientes y proveedores enviando pedidos, facturas y contratos electrónicos y con la Administración Pública. Esos sistemas de comunicación desde luego contribuyen de manera decisiva a mejorar la productividad de tu empresa.
Se trata utilizar mecanismos sencillos, gratuitos y conocidos por todos los agentes intervinientes que permiten realizar las mismas actividades y operaciones empresariales que se realizan en el mundo real con plenas garantías y en un contexto de máxima seguridad.
Conseguirás un importante ahorro de costes, por supresión del papel, menor gasto de tinta de impresoras, eliminación de gastos de envío, menor espacio de almacenamiento para archivadores y un mayor control de acciones erróneas.
También tendrás un ahorro de tiempo, debido a procesos administrativos más rápidos y eficientes, mayor agilidad en la localización de información, en el proceso de cobro y en la toma de decisiones, con reducción de tiempos de gestión.
Puedes tener más seguridad, con pocas probabilidades de falsificación debido a la utilización de la firma electrónica que dota de gran seguridad a las gestiones realizadas, mejora de la disponibilidad y fiabilidad de los datos, minimización del margen de error humano, como la perdida de información o extravió de documentos.
Mejoras la calidad de servicio que ofrece tu empresa, porque estás abriendo un nuevo canal de comunicación con el cliente, también mejoras el tiempo de operación y envío, y de resolución a consultas sobre facturación e incorporas una línea de pago en los documentos.
La factura electrónica.
La factura electrónica, que también es conocida como e-factura, factura telemática y factura digital, es un documento de carácter legal, que es homóloga a la factura en formato papel, pero que es generada por medios informáticos en formato electrónico o digital.
La factura electrónica tiene el mismo valor fiscal y legal que la factura tradicional en formato papel, pero aporta una serie de ventajas que la hacen especialmente atractivas para las empresas puesto que aprovecha todas las ventajas que aporta Internet y la sociedad de la información.
La utilización de facturas electrónicas por las empresas son válidas en los países de la Unión Europea desde el año 2004, cuando fue aprobada la Directiva 2001/115 y su posterior reglamentación en España mediante el Real Decreto 1496/2003 y modificado por el Real Decreto 87/2005.
Entre las muchas ventajas de la facturación electrónica se encuentran
Ahorro de costes de papel, tinta de impresoras, mobiliario de archivos.
Mejora de la productividad del trabajo.
Integración con las aplicaciones de gestión internas de la empresa de tipo ERP.
Optimización de la tesorería.
Obtención de información en tiempo real de los procesos comerciales.
Agilidad en la toma de decisiones.
Administración y contabilidad automatizadas.
Control eficaz de las gestiones erróneas.
Uso eficaz de los recursos financieros.
Concepto de factura electrónica.
En primer lugar para que tengas claro que es la facturación electrónica la podemos definir como una transmisión de facturas o documentos análogos entre un emisor y un receptor por medios electrónicos, es decir mediante la creación de ficheros informáticos, a través de un medio telemático que la lleve de un ordenador a otro, que además estén firmados digitalmente mediante certificados cualificados, y que cuentan con la misma validez legal que las facturas emitidas en papel.
La Factura Electrónica tiene las siguientes características
Es un documento de carácter tributario.
Es generada por medios informáticos.
Es generada en formato electrónico o digital.
Reemplaza a todos los efectos a la factura tradicional en papel.
Tiene el mismo valor legal que la factura tradicional en papel.
Tiene condiciones de seguridad que no tiene la factura en papel.
Las facturas electrónicas se pueden emitir en los siguientes formatos digitales: EDIFACT, XML, PDF, HTML, doc, gif, jpeg o txt.
En cualquier formato que se emita se debe respetar al igual que en la factura en papel, el contenido legal y además se incluya la firma electrónica legalmente reconocida.
El Anteproyecto de Ley de Medidas de Impulso de la Sociedad de la Información define la factura electrónica como «un documento electrónico que cumple con los requisitos legales y reglamentariamente exigibles a las facturas y que, además, garantiza la autenticidad de su origen y la integridad de su contenido, lo que permite atribuir la factura a su obligado tributario emisor».
Deben existir tres condicionantes para la realización de Factura Electrónica que sea totalmente legal
Formato electrónico de factura más o menos detallada de tipo de los anteriormente comentados.
Que exista una transmisión telemática entre un ordenador emisor y otro ordenador receptor.
Que exista una garantía de integridad y autenticidad a través de una firma electrónica reconocida.
Pese a las grandes ventajas que ofrece la Factura Electrónica, también tiene costes derivados de la aplicación informática utilizada para emitirlas, y que normalmente cuanto más compleja es la plataforma creada para emitirlas mayores costes, pero se puede amortizar con el tiempo si el volumen de facturas generado es alto, aunque también hay soluciones más sencillas como son aplicaciones tipo web donde emitir facturas puede salir por unos 30 a 40 €, normalmente emitir una factura puede costarte unos 0,10 €.El coste de adquirir un certificado electrónico en un Prestador de Servicios de Certificación para firmar las facturas, puede oscilar entre los 30 y 400 € al año.
Desde la entrada en vigor del Real Decreto Legislativo 3/2011, de 14 de noviembre, del Ministerio de Industria, Energía y Turismo por el que se aprueba el Texto Refundido de la Ley de Contratos del Sector Público, deja clara la obligatoriedad de utilizar la factura electrónica como requisito imprescindible para la presentación de las empresas a los concursos públicos. El proceso que tienen que llevar a cabo las empresas para cambiar su facturación en formato papel a la facturación electrónica es un proceso del que todas las empresas, con independencia de su tamaño, se están beneficiando. Actualmente existen iniciativas como el Plan Avanza del Ministerio de Industria, Energía y Turismo que, impulsa de la adopción de la Factura Electrónica en las PYMES.
Funcionamiento de la factura electrónica.
Si queremos confeccionar nuestras facturas de forma digital de tal modo que respete la legislación vigente en materia de la Factura Electrónica, el proceso a seguir está formado básicamente por dos procesos diferenciados en los sistemas de gestión de facturas, puesto que varían si somos nosotros los emisores de las facturas o somos los receptores de las facturas.
En la emisión, el emisor, es decir, quien redacta o emite la factura, con la conformidad del receptor, es decir, quien recibe la factura, transmite al receptor por medios telemáticos, como por ejemplo vía internet, la Factura Electrónica que incluye una firma electrónica y conserva la copia o matriz en la base de datos. En este caso no es necesario conservar los documentos electrónicos firmados digitalmente.
El receptor, que recibe la factura en formato digital y la conserva en soporte informático, para su futura consulta e impresión, si fuera necesario. Al ser la factura un documento firmado electrónicamente, el receptor debe guardar la información relativa a la comprobación de la validez de la firma electrónica.
Por lo tanto ya no se exige imprimir la factura para que ésta sea válida desde el punto de vista legal y fiscal, sino que todo proceso desde su emisión, envío, hasta su conservación, se puede realizar directamente con un fichero digital generado por el emisor de la factura.
Resumiendo, como características esenciales del funcionamiento correcto de la Factura Electrónica, cabe señalar que, además de realizarse la transmisión y comunicación de forma digital, tenemos que incluir varios subprocesos especiales requeridos normativamente y que son, la firma electrónica y, si somos nosotros los que emitimos la factura, debemos utilizar un certificado electrónico admitido para la firma de facturas y, cuando seamos nosotros los receptores de la factura, necesitaremos la verificación de la validez de dicho certificado.
En el esquema adjunto, se muestra la comparación del proceso de facturación tradicional en papel, con sus principales tareas administrativas a realizar en orden cronológico, con el de la facturación electrónica, con sus tareas administrativas ordenadas también cronológicamente, en el que se puede apreciar la simplicidad de tareas de la factura electrónica frente a la tradicional en papel; pese a tener una tarea añadida como es la firma digital, el resto de tareas se simplifica, así no es necesario el imprimir, doblar y meter en sobres las facturas con su dirección de emisor y remitente, ni pegar el sello de correos.
Primero obtener el consentimiento previo del receptor, le tenemos que notificar y recabar su consentimiento asegurarnos de que dispone de los elementos tecnológicos para visualizar el documento y así poder verificar la firma y la identidad del emisor.
Un formato electrónico de factura electrónica según los vistos en el epígrafe anterior.
Una transmisión telemática entre ordenadores.
Por su parte la firma electrónica reconocida debe cumplir con los siguientes requisitos
Que sea una firma electrónica avanzada.
Que esté basada en un certificado reconocido.
Que sea generada mediante un dispositivo seguro de creación de firma.
Permitir el denominado Acceso completo a los datos, que consiste en que las facturas que tenemos custodiadas deben contar con mecanismos que faciliten su consulta, visualización e impresión en caso de auditoría o inspección.
Para plataformas de emisión de facturas electrónicas, los proyectos de emisión de facturas suelen ser menos complejos que los de recepción. El proceso de facturación puede simplificarse a que la empresa emitiese un correo electrónico firmado electrónicamente con los datos de la factura.
Aplicaciones de facturación gratuitas, como Gestión de facturación electrónica. 2.0 o versión superior que esta disponible en la pagina web del Ministerio de Industria, Energía y Turismo www.facturae.es, también están estas otras aplicaciones gratuitas, FactOffice, Hazteunafacturae, OffInvoice, Endeve, Zoho Invoiceo SdSimple. Estas aplicaciones mencionadas permiten gestionar facturas en formato de Factura Electrónica, y utilizar el DNI electrónico y otros certificados electrónicos reconocidos para realizar la firma electrónica necesaria en las facturas electrónicas.
Plataformas de facturación de terceros, que son empresas que se encargan de gestionar la emisión, firma y conservación de los datos de las facturas electrónicas, o la posibilidad de automatizar el proceso en el caso de facturación de forma masiva o en bloque.
Para plataformas de recepción de facturas electrónicas, son proyectos más complejos que los de emisión, ya que lo que se persigue es optimizar el proceso integrándolo con los sistemas de facturación internos de la empresa, ERP, por lo que lo más recomendable es que la empresa receptora y la emisora tengan el mismo formato, también existe la posibilidad de utilizar una plataforma externa de un tercero.
Formatos de la factura electrónica.
Cualquier formato empleado es válido siempre que posteriormente sea firmado electrónicamente para dotarlo de validez legal.
PDF. Se utiliza cuando el destinatario de la factura electrónica es un particular, un profesional o una PYME cuyo único interés sea guardar electrónicamente la factura, pero que posiblemente tengas que volver a escribir los datos de la factura, ya que con este formato no se facilita la escritura de los datos de la factura en el ordenador de destino. El formato de firma de Adobe queda embebido dentro del formato PDF y permite asociar una imagen, por lo que es uno de los formatos más adecuados para su visualización. La apariencia de la firma es muy visual, ya que es posible asociar a la misma un gráfico como una firma digitalizada o un sello de empresa.
EDIFACT. Se utiliza cuando el envío se realiza de ordenador a ordenador, lo cual quiere decir que el destinatario es una empresa que tiene capacidad tecnológica para tratar de forma automatizada la información recibida, de manera que los datos se ingresan en el ordenador de destino de forma automática. La firma se lleva a cabo mediante las cabeceras y pies de seguridad. La elaboración de este estándar es desarrollada en España por AECOC.
XML. También se utiliza cuando el envío es de ordenador a ordenador. Es un lenguaje extendido principalmente en Norteamérica que poco a poco va ganando terreno en Europa. Existen diversas variantes cuya convergencia se realiza en el marco de las Naciones Unidas. En España la variante facturae es respaldada por el Centro de Cooperación Interbancaria, la Agencia Tributaria y el Ministerio de Industria, Energía y Turismo. El formato de firma electrónica se denomina XAdES incluye información sobre el tiempo en el que se llevó a cabo la firma electrónica e información sobre la validez del certificado electrónico cualificado que la acompaña.
En España, el CCI ha desarrollado un conjunto de recomendaciones para codificar tanto la factura electrónica como la firma electrónica. El formato está basado en XML y recoge todos los requisitos de la normativa española, en particular el Real Decreto 1496/2003 y el Real Decreto 87/2005.
No tienes que olvidar nunca que la factura emitida, bien sea por medios tradicionales o por medios electrónicos, debe incluir determinada información y requisitos para que tenga validez legal desde le punto de vista fiscal, entre otros los datos completos de emisor y receptor incluyendo CIF, n de factura, fecha de factura, impuestos, etc.
Conservación de las facturas electrónicas.
Según nos indica la legislación vigente puedes conservar las facturas emitidas de diversas maneras.
Puedes conservar las facturas electrónicas recibidas en formato papel. Para que estas facturas electrónicas impresas tengan validez legal, es necesario que las imprimas en formato PDF417, este formato incorpora un código de barras bidimensional, es decir, está configurado para almacenar información en dos dimensiones, dotándolo de una gran capacidad de almacenaje. Este formato pertenece a la empresa Adobe, el documento impreso que incluye el código, se parece a una nube de puntos de la cual se saca información para su identificación y validación.
Esta nube de puntos es una marca gráfica que incluye el contenido íntegro de los datos de la factura y la firma electrónica del fichero.
Para poder realizar este tipo de impresión, la factura electrónica que has recibido ha tenido que ser emitida con un software específico que genere e incluya en la factura electrónica este código PDF417 o nube de puntos. También tienes la posibilidad de gestionar electrónicamente las facturas recibidas en papel mediante la digitalización certificada.
La digitalización certificada es el proceso por el que se transforman las facturas recibidas en papel en electrónicas. A partir de la factura en papel se obtiene una imagen digital firmada electrónicamente.
Para realizar la digitalización certificada necesitarás un software homologado por la Agencia Tributaria.Una vez realizada la digitalización certificada de una factura, puedes destruir el documento en papel ya que el documento transformado tiene el carácter de original y es totalmente válido a efectos fiscales.
Existen aplicaciones informáticas que gestionan el conjunto de facturas, emitidas o recibidas, según corresponda, junto con la firma electrónica generada o verificada, proporcionando un código de autenticación de mensajes asociado a cada factura, cabe la posibilidad de identificar las facturas mediante dicho código.Este código permitirá el acceso al documento asociado existente en el repositorio y garantizará, al que accede, que la factura cumple con los requisitos contemplados en la normativa.
Algunas de las ventajas que tiene la Administración Electrónica son bien conocidas
Disponibilidad, puesto que a través de oficinas virtuales por internet se puede interactuar las 24 horas, no hay que ajustarse a un horario de oficina o a los días laborables.
Comodidad y ahorro de tiempo, ya que no hay que presentarse físicamente en las oficinas de la administración, evitando desplazamientos y colas para ser atendidos.
Para que puedas operar a través de internet con las Administraciones Públicas o con otras empresas, necesitas el certificado electrónico y la firma electrónica reconocida.
La Ley 30/1992 se impulsaba el empleo de los medios electrónicos, informáticos y telemáticos, pero no suponía una obligación para las administraciones. Sin embargo, con la publicación de la Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos , se reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos.
Los trámites que podemos realizar por internet con las Administraciones Públicas, son variados y se van ampliando con el paso de los años y la modernización de las Administraciones, pero entre otros podemos realizar declaraciones de IVA e IRPF, el Impuesto de Sociedades, varias gestiones con la Seguridad Social relacionadas con las altas y bajas laborales, contratación laboral, y recibir notificaciones por vía electrónica de diversos organismos oficiales.
Los trámites administrativos que tu empresa puede hacer con otras empresas están relacionados sobre todo con el intercambio de información dentro de las relaciones comerciales y sirven para estimular las relaciones con los clientes más directos.
Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos.
Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la ley 11/2007.
Real Decreto 3/2010, de 8 de enero, por el que se regula el esquema nacional de seguridad en el ámbito de la administración electrónica.
Real Decreto 4/2010, de 8 de enero, por el que se regula el esquema nacional de interoperabilidad en el ámbito de la administración electrónica.
Derechos de los Ciudadanos Obligaciones de la Administración
Realizar todas sus gestiones por medios electrónicos. Facilitarán información y la realización de trámites por Internet, móviles, televisión u otro medio disponible.
Elegir el canal para acceder a los servicios públicos. Garantizar el acceso a las personas que carezcan de medios propios o conocimientos suficientes.
Realizar sus trámites 24 horas al día los 365 días del año. Creación de registros electrónicos para enviar documentos en soporte electrónico.
Consultar en cualquier momento el estado de tramitación de los procedimientos. Facilitar información sobre la marcha de las gestiones al ciudadano que lo desee por el medio que lo solicite.
Las comunicaciones en soporte electrónico tendrán la misma validez legal que las tradicionales en papel. Los datos personales de los ciudadanos se tratarán siempre bajo las máximas garantías de seguridad y confidencialidad.
No tener que aportar datos ni documentos que obren en poder de las Administraciones. Cruzamiento de comunicaciones para no pedir documentos a los ciudadanos que ya estén en su poder.
Los trámites electrónicos tendrán la misma validez que la forma tradicional. Se crea el concepto de sede electrónica, lugar oficial de prestación de servicios electrónicos al ciudadano.
Los ciudadanos podrán realizar trámites de distintas administraciones en un único lugar. Las administraciones públicas garantizarán su interoperabilidad para asegurar este derecho.
Gestión de impuestos estatales y de otros organismos públicos.
Para realizar gestiones con las Administraciones Públicas tenemos que conocer que son la sede Electrónica y la Ventanilla Única Empresarial.
La sede electrónica de una administración pública es su página web donde encontrarás el catálogo de trámites telemáticos que se puedes realizar con dicha entidad, y que van desde la posibilidad de iniciarlos, conocer el estado de tramitación de los expedientes en curso, hasta poder presentar cualquier documento electrónico a través del Registro Electrónico. Se accede a través de su propia página web, bajo la sección sede electrónica, trámites, servicios o similar.
Las Ventanillas Únicas Empresariales son espacios únicos de tramitación y asesoramiento empresarial, que facilitan a las empresas la tarea de realizar trámites con los diferentes Organismos Públicos .
TRÁMITE ORGANISMO DESCRIPCIÓN
IVA e IRPF Agencia Tributaria, www.aeat.es. Su tramitación es trimestral y desde 2008 obligatoriamente por vía telemática. Con certificado digital aceptado por la administración para poder realizar el trámite en su totalidad, las asesorías externas poseen certificados especiales que les facilitan el trámite para cualquier empresa.
Impuesto de Sociedades Agencia Tributaria, www.aeat.es. Su tramitación es anual. También de manera telemática.
Altas y bajas laborales, partes de ILT Tramitación de altas y bajas, incorporaciones de personal o bajas del mismo y partes de enfermedad . Se tramitan por sistema Red y es necesario poseer un certificado SILCON, personal y otorgado por la Seguridad Social a un representante acreditado de la empresa con nombres y apellidos.
La aplicación SILCON es la que nos permite la transmisión de datos de Cotización, Afiliación y Remisión de partes de Alta y Baja de Incapacidad Temporal.
Contratos laborales Instituto Nacional de Empleo , www.redtrabaja.es. Registro de contratos laborales, a través de la herramienta CONTRAT@. Evita tener que hacer llegar de manera personal los contratos a la oficina del INEM.
Notificaciones electrónicas Agencia Tributaria, www.aeat.es. Dirección General de Tráfico www.dgt.es. Cada vez más administraciones están habilitando sistemas de notificaciones telemáticas para permitir a las empresas recibir las comunicaciones y notificaciones en formato electrónico.
Las notificaciones de multas de tráfico de la DGT y las notificaciones de la Agencia Tributaria .
Las empresas deberán registrarse en cada uno de los sistemas habilitados a través de sus páginas web y asociar una dirección de correo electrónico donde deseen recibir dichas notificaciones.
Trámites con la Seguridad Social.
La cantidad de tramites que puedes realizar con la Seguridad Social es enorme e incluso aumenta cada poco tiempo, vamos a organizarlos según se trate de servicios ofrecidos a empresas y empresarios, a ciudadanos o a otras Administraciones y Mutuas.
Dentro de los trámites que una empresa o empresario pueden realizar con la Seguridad Social distinguiremos, si dispones de certificado digital o de certificado SILCON.
Puedes descargarte la aplicación gratuita, WinSuite32. Sus funciones básicas son las de permitir la tramitación de mensajes con la Tesorería General de la Seguridad Social, además de validar y procesar los datos generados por el programa de nóminas y envío/recepción de los mensajes a través del módulo de comunicaciones.
Trámites que puedes realizar tanto con certificado digital como con certificado SILCON.
Solicitud de Inscripción y Asignación de código de cuenta principal y código de cuenta secundario CCC.
Solicitud de alta en el Régimen Especial de Trabajadores por Cuenta Propia o Autónomos.
Anotación Teléfono y Correo Electrónico del Empresario.
Solicitud de baja en el Régimen Especial de Trabajadores por Cuenta Propia o Autónomos.
Informe de Situación de Empresario Individual de cada uno de sus Códigos de Cuenta de Cotización.
Consulta de autorizados RED que gestionan una empresa.
Comunicación de Enfermedades Profesionales. Aplicación CEPROSS.
Comunicación de Patologías no Traumáticas Causadas por el Trabajo A.T. PANOTRATSS.
Verificación de Documentos e Informes mediante huella.
En la Seguridad Social también cuentas con un Registro Electrónico, a través del cual puedes realizar la presentación electrónica de escritos, solicitudes y comunicaciones. Si presentas información no relacionada con los procedimientos aprobados legalmente no producirá ningún efecto y se tendrá por no realizada.
Para utilizar el Registro Electrónico es necesario disponer de un DNI Electrónico u otro certificado digital reconocido incluido en la lista de certificados admitidos. Una vez realizado el trámite recibirás un acuse de recibo integrado por el resguardo de la solicitud en formato PDF y la firma del servidor que garantiza que la transacción se ha producido correctamente.
También cuentas con un servicio de verificación de firmas y certificados, cuyo objetivo es la comprobación de las firmas electrónicas de los documentos emitidos por la Seguridad Social, de forma que cualquier ciudadano pueda verificar la autenticidad e integridad de los mismos.
Para validar la firma de los documentos PDF generados por la Seguridad Social, es necesario configurar previamente el entorno de Adobe Acrobat Reader.
Otra de las posibilidades es suscribirte a Mis Notificaciones, a través de este servicio puedes recibir de forma electrónica notificaciones de los actos administrativos de la Seguridad Social.
Entre estos actos, se encuentran los del procedimiento recaudatorio: reclamaciones de deuda y providencias de apremio. Para obtener las notificaciones a través de este Servicio así como para convertirte en receptor de las mismas deberás haber recibido una Resolución favorable de la Seguridad Social.
Por último la Seguridad Social pone a disposición de los ciudadanos un servicio electrónico denominado Mis Expedientes Administrativos, donde puedes consultar, previa identificación, la información sobre el estado de tramitación de los procedimientos que tengas abiertos, la relación de los actos de trámite realizados, con indicación sobre su contenido, así como la fecha en la que fueron dictados.
Banca electrónica.
La utilización de los servicios ofrecidos por los bancos a las empresas a través de Internet se ha ido generalizando. Actualmente, y según los datos del estudio realizado por el INE en su encuesta de uso del TIC y Comercio Electrónico de 2009-2010, más del 90 % de las empresas conectadas a la red Internet realizaban operaciones y transacciones por medios electrónicos.
Para tu empresa, utilizar los servicios de la banca electrónica puede suponer un ahorro de tiempo en los desplazamientos y en las colas que suele haber en los bancos. Aunque el número de servicios que nos ofrecen varían con los años y con las preferencias de los usuarios, podemos destacar entre otros, la posibilidad de consultar saldos de cuentas corrientes, de crédito, transferencias, gestión de cobros y pagos, operaciones internacionales y también realizar inversiones entre una gran variedad de productos financieros.
Vamos a ver con más detenimiento algunas de las gestiones bancarias que puedes realizar a través de Internet utilizando los servicios proporcionados por la banca electrónica.
Puedes abrir cuentas y consultar los movimientos. Esta gestión es muy útil para conocer el dinero que hay disponible en las cuentas y controlar todos los movimientos que se han cargado en las mismas así como sus detalles: asunto, procedencia o destino y cuantía.
Puedes realizar transferencias a proveedores. Te quedan registradas a través de la plataforma web.
También hacer traspasos. Se puede mover dinero entre las cuentas en tiempo real.
Domiciliar, pagar o devolver recibos.
Pagar impuestos.
Consultar cargos de tarjetas. Se pueden ver todos los cargos realizados a través de las tarjetas de débito o crédito.
Un aspecto importante a tener en cuenta es la seguridad en la banca electrónica.
Las entidades financieras han implantado grandes medidas de seguridad en sus accesos a los sistemas y páginas web con el objeto de ofrecer las máximas garantías posibles cuando tienes que realizar los trámites bancarios por Internet.
Los principales riesgos que puedes sufrir en tus operaciones y gestiones a través de la banca electrónica son la suplantación de identidad y el llamado «phishing», que es una estafa consistente en intentar conseguir información confidencial de los clientes de forma fraudulenta como son las contraseñas y la información sobre tarjetas de crédito.
Instalar un programa antivirus y configurarlo para que se actualice de forma automática.
Mantener a buen recaudo las contraseñas.
Mantener actualizado el navegador o navegadores que uses puesto que las últimas versiones suelen resolver los problemas de seguridad según se vayan creando.
Acceder a la página del banco tecleando la dirección de su página web directamente en la barra de direcciones.
Las páginas web de los bancos siempre operan mediante la transmisión encriptada de la información a través del protocolo de seguridad SSL . Se puede saber si estamos en una página segura si la dirección web de la barra de direcciones comienza por https.
Y también hay que cerrar la sesión siempre que se termine de realizar las gestiones previstas.
Las principales ventajas de la contratación electrónica son
Elimina las barreras geográficas. Las dos partes pueden conseguir contratos más ventajosos, por poder acceder a contratos donde no hay que presentarse físicamente, es especialmente importante si queremos acceder a contratos que son ofertados en otras Comunidades Autónomas o incluso en otros países.
Conseguiremos un ahorro de costes económicos y temporales en el momento de realizar las gestiones.
Aumenta la agilidad en las diferentes fases de la contratación.
Las condiciones incluidas en la Ley que se deben cumplir para garantizar la validez de un contrato electrónico son
Trámites a seguir para celebrar el contrato.
Si se va a archivar el documento electrónico que formaliza el contrato y, en caso de ser así, si va a estar accesible.
Medios técnicos que pone a su disposición para identificar y corregir errores en la introducción de los datos.
Idiomas en los que podrá formalizarse el contrato.
En el caso de servicios prestados en Internet la obligación de informar se cumple añadiendo esta información en un espacio visible de la página web.
Envío de un acuse de recibo por correo electrónico u otro medio de comunicación electrónica equivalente a la dirección que haya indicado la persona que acepta el contrato en el plazo de las veinticuatro horas siguientes desde que recibe la aceptación.
Confirmación por un medio equivalente al utilizado en el procedimiento de contratación, tan pronto como el aceptante haya completado el procedimiento. Por ejemplo, si la contratación se produce a través de una página web, sería suficiente con mostrar una página indicando que el procedimiento se ha llevado a cabo con éxito, de forma que el destinatario pueda imprimirla o almacenarla. Así, se entiende que la aceptación y su confirmación se han recibido cuando ambas partes tengan constancia de ello.
Obligaciones de información. Los contratos celebrados exclusivamente por correo electrónico, en los cuales ninguna de las partes tenga condición de consumidor, no es obligatorio facilitar la información señalada, siendo únicamente necesario poner a disposición del destinatario las condiciones generales a que, en su caso, deba sujetarse el contrato, de manera que éstas puedan ser almacenadas y reproducidas por el destinatario. Asimismo, cuando el cliente tiene la condición de consumidor, entran en juego obligaciones añadidas relacionadas con el servicio posventa, derecho de desistimiento, devoluciones, etc. 4.- Firma y certificación electrónica.
Con el uso intensivo de Internet en las transacciones comerciales entre empresas, paralelamente se ha ido creando un conjunto de herramientas básicas que posibiliten la identificación y el uso de los documentos electrónicos con plenas garantías jurídicas. Esta identificación a través de Internet en las relaciones de las empresas con sus clientes, proveedores y con las administraciones públicas, se ha materializado en el certificado digital y la firma electrónica.
Buscando una comparación con el modelo tradicional, el certificado digital y la firma electrónica son en el mundo digital los homólogos al DNI y la firma manuscrita en el mundo físico.
La firma electrónica protege la información mediante un cifrado criptográfico de los mensajes, que hace que los datos transmitidos sean imposibles de alterar y lleguen íntegros a su destinatario.
La firma electrónica es necesaria para garantizar la integridad de la factura. Es decir, permite comprobar que no se ha alterado la información contenida en la factura. Su regulación jurídica viene establecida en la Ley 59/2003, de 19 de diciembre, de firma electrónica. La firma electrónica que es reconocida, da un mayor grado de seguridad de acuerdo.
Sólo la firma reconocida tiene validez legal igual a la manuscrita.
Según la citada Ley, se define firma electrónica como el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control .
Se considera firma electrónica reconocida a la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.
La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
Según el artículo 6 de la Ley 59/2003, de 19 de diciembre, de Firma Electrónica, un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.
El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.
Y Según el artículo 11 de la misma Ley, son certificados reconocidos, los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta Ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.
Cuando nos referimos a una firma digital tenemos que considerar dos conceptos básicos
Autentificación del firmante.
Integridad del documento firmado.
La firma digital protege la información mediante un cifrado criptográfico de los mensajes, que hace que los datos transmitidos sean imposibles de alterar y lleguen íntegros a su destinatario. En una firma digital participan una pareja de claves, la clave pública y la clave privada. La clave privada sólo debe ser conocida por su propietario mientras que la clave pública podrá ser conocida abiertamente. La pareja de claves son complementarias, lo que cifra una sólo puede ser descifrada por la otra.
El desarrollo de la firma electrónica está muy relacionado con el DNI electrónico que realmente es un certificado electrónico que autentifica la identidad de un ciudadano. Para poder firmar electrónicamente mediante el DNI electrónico, sólo se necesita un lector de tarjetas y el software adecuado.
Si no utilizas el DNI electrónico puedes firmar un documento de forma electrónica mediante un certificado digital y una aplicación que sirva para este fin.
Podemos utilizar un programa de firma instalado en nuestro ordenador o utilizar una aplicación on-line para firmar documentos electrónicos y validar firmas. Existen algunas de pago pero también otras gratuitas que se pueden obtener por ejemplo a través de Camerfirma o directamente a través de la Agencia Tributaria o de las páginas web de las Comunidades Autónomas.
Como tipos de firma digital tenemos
La firma digital simple o básica es aquella que recoge los elementos esenciales de la firma electrónica como son el resumen del documento firmado, el certificado del firmante asociado a la clave privada con la que se firma y el propio resultado de aplicar la clave privada al resumen, que es la firma electrónica propiamente dicha. Este tipo es la más vulnerable, ya que es solo un conjunto de datos en formato electrónico que sirven como medio de identificación para el firmante.
La firma digital avanzada, además de servir como un medio de identificación del firmante, también garantiza la integridad del documento firmado, impidiendo los cambios o alteraciones posteriores al momento de la firma. Aún así, estos dos tipos de firma no consiguen los niveles de seguridad y la garantía que ofrece una firma manuscrita.
La firma digital reconocida, está basada en un certificado reconocido que garantiza su seguridad y además debe ser generada en un dispositivo seguro de creación de firmas. Alcanza los niveles de seguridad necesarios para poseer el mismo valor jurídico que una firma manuscrita.
La firma digital fechada añade a la firma digital básica información temporal sobre el momento de la firma o de su verificación.
Como formatos de firmas digitales tenemos
Formato de firmas XML, utilizamos este formato si el formato empleado para la formación de las propias facturas es también XML. Sin embargo, la firma XML puede aplicarse a cualquier tipo de documento, con independencia de su formato. Dentro de la firma digital en formato XML, existen diferentes subtipos de formatos, como el XML Dsigy la variante de este, el XML Advanced Electronic Signatures .
Formato de firmas PKCS7/CMS. Este formato consta de una serie de elementos que afectan a la firma, como son, el tipo de algoritmo hash, el algoritmo de firma, el hash resultante del documento, el certificado digital al que se asocia la clave pública, la firma PKCS1 en si misma, número de firmas, etc.
Formato de firma EDI. El EDI implica la transferencia electrónica de ordenador a ordenador de datos comerciales o administrativos que se estructuran en un mensaje normalizado que permite su procesado automático.
Firma en documentos PDF. Adobe ha definido dentro de la especificación PDF un formato de firma propietario apoyado en la generación de firmas en formato PKCS7 y su inserción en un documento PDF. Este tipo de firmas está siendo muy utilizada, debido, a la posibilidad de que cualquiera pueda validar las firmas con una aplicación muy utilizada de la empresa Adobe Reader.
Sistema EDI.
Con el sistema EDI, o Electronic Data Interchange puedes realizar intercambios de documentos estandarizados entre los sistemas de información de quienes participan en una relación comercial.
Lo que esencialmente diferencia al EDI de otros sistemas de intercambio de información es el carácter estándar de estos documentos, por ejemplo los pedidos, albaranes, facturas electrónicas, inventarios o catálogos de precios, puedes intercambiarlos electrónicamente con otras empresa, gracias al uso de un lenguaje común que permite que diferentes sistemas de información interactúen entre sí.
Existen además soluciones tecnológicas que te permiten además el procesamiento automático de estos intercambios porque pueden estar integrados dentro de un ERP y así puedes procesar pedidos, avisos de expedición, facturas electrónicas o cualquier otra transacción, de forma automática sin intervención de ningún trabajador de tu empresa.
La capacidad de integración una solución EDI con un ERP, convierte a los mensajes EDI en la mejor opción para optimizar la mayor parte de tus procesos administrativos y de gestión, gracias, entre otras, a las mejoras obtenidas por reducción de tiempos de procesamiento, incremento de la seguridad y confidencialidad, o reducción de costos.
El sistema EDI implica la transferencia electrónica de ordenador a ordenador de datos comerciales o administrativos que se estructuran en un mensaje normalizado que permite su procesado automático.
En sentido estricto, los sistemas EDI tradicionales utilizan el formato EDIFACT para codificar los mensajes, y redes de valor añadido para transmitirlos y distribuirlos.
Cabeceras y pies de seguridad, que permiten firmar cada mensaje del intercambio.
Mensaje AUTACK que permite firmar todos los mensajes de un intercambio. Este tipo de mensaje, de seguridad asociado específico, proporciona servicios de seguridad. También se puede utilizar para proporcionar el servicio de no repudio en destino, dando al emisor un reconocimiento seguro de que el receptor ha recibido el mensaje original, sin tener que retornarlo.
Algunos beneficios que tu empresa puede obtener de la utilización del sistema EDI son
Mayor rapidez en los procesos comerciales.
Disminución de errores en los documentos de la empresa.
Disminución de stocks, debido a la facilidad de aplicación de técnicas cercanas al Just-in-Time.
Ahorro de costos de administración.
Mejora de la competitividad de la empresa que adopta el sistema EDI.
Firma en documentos PDF.
Existen soluciones de firma de ficheros PDF muy interesantes tanto de Adobe como de terceros y que tú puedes utilizar en la empresa a la hora de emitir facturas electrónicas con firma digital.
Los productos de Adobe permiten llevar a cabo de forma muy sencilla la firma electrónica, por ejemplo con el programa Adobe Acrobat.
Las principales ventajas de las firmas en PDF son la sencillez de uso, al alcance de cualquier usuario y la generalización de su validador de firmas.
Adobe ha definido dentro de la especificación PDF un formato de firma propietario apoyado en la generación de firmas en formato PKCS#7 y su inserción en un documento PDF. Este tipo de firmas está teniendo un éxito importante, principalmente, por la posibilidad de que cualquiera pueda validar las firmas con un producto de distribución masiva: el Adobe Reader.
Algunos productos de servidor de Adobe permiten extender las funciones del Reader, habilitando, por ejemplo, la firma electrónica, lo que no es posible con el uso básico del Reader por sí solo.
Las ventajas más importantes del formato en PDF son las siguientes
Mantiene íntegramente el aspecto original de la factura.
Es multiplataforma: Windows, Mac Os X, Linux.
Evita modificaciones no autorizadas.
Permite búsqueda de palabras.
Reduce considerablemente el tamaño del documento.
Está indicado para la impresión de alta calidad de documentos.
Permite incluir el logotipo en alta definición.
Las tipografías no estándar están incluidas en el PDF, por lo que no es necesaria la instalación de tipografías adicionales.
El formato PDF evita la posibilidad de modificar el documento, y, no hace falta disponer de procesadores de texto u otros para poder abrir e imprimir el fichero con lo que la información está bien protegida.
Es interesante utilizar el formato PDF cuando el destinatario de la factura electrónica es un profesional o un particular, con el único interés de guardar la factura de forma electrónica, sin tener intención de editar los datos, ya que con este formato se dificulta el cambio de datos o el ingreso de nuevos datos a la factura electrónica.
Criptografía y sistemas de cifrado.
El objetivo básico de la criptografía es encontrar sistemas que permitan hacer llegar determinada información considerada secreta, desde un lugar origen a otro destino, de forma tan segura que, si el mensaje es interceptado, un atacante no pueda reconocer el mensaje. Uno de los objetivos de la criptografía moderna es encontrar algoritmos basados en principios matemáticos que, siendo públicos permitan garantizar la inviolabilidad de los mensajes protegidos por ellos, al menos durante el tiempo en que pueda ser útil el conocimiento de la información protegida. Asimismo, no debe ser posible obtener las claves a partir del conocimiento de fragmentos cifrados y en claro del mensaje.
Una firma digital realmente es una huella digital de un documento cifrado con una clave.
Existen los siguientes sistemas de cifrado
Cifrado Simétrico. La característica principal de la criptografía simétrica es que, utiliza el mismo algoritmo y la misma clave para cifrar y descifrar un documento. Por lo tanto, como el algoritmo es público, es necesario mantener el secreto de la clave entre las partes que intervienen. El principal problema de seguridad reside en el intercambio de claves entre el emisor y el receptor ya que ambos deben usar la misma clave. Es importante que dicha clave sea muy difícil de adivinar. En el esquema adjunto se muestra el cifrado simétrico de clave pública en el que mediante las figuras de cuatro rectángulos se realiza el proceso de cifrar un texto plano o claro con clave secreta o pública, que es única para emisor y receptor y después se vuelve a descifrar con la misma clave secreta o pública .
Cifrado Asimétrico. También son llamados sistemas de cifrado de clave pública. Utiliza claves distintas para cifrar y descifrar un mensaje, de forma que el conocimiento de la clave de cifrado no permite el descifrado del mensaje e, inversamente, que el conocimiento del texto cifrado y de la clave de descifrado no dice nada acerca de la clave de cifrado. Una es la clave pública y se puede enviar a cualquier persona y otra que se llama clave privada, que debe guardarse para que nadie tenga acceso a ella. Para enviar un mensaje, el remitente usa la clave pública del destinatario para cifrar el mensaje. Una vez que lo ha cifrado, solamente con la clave privada del destinatario se puede descifrar, ni siquiera el que ha cifrado el mensaje puede volver a descifrarlo.
Sistemas de cifrado híbridos. En este caso, el sistema de cifrado usa tanto los sistemas de clave simétrica como el de clave asimétrica. Funciona mediante el cifrado de clave pública para compartir una clave para el cifrado simétrico. En cada mensaje, la clave simétrica utilizada es diferente por lo que si un atacante pudiera descubrir la clave simétrica, solo le valdría para ese mensaje y no para los restantes.
La mayor ventaja de la criptografía asimétrica es que la distribución de claves es más fácil y segura, ya que la clave que se distribuye es la pública, manteniéndose la privada para el uso exclusivo del propietario. Como desventajas están que, para una misma longitud de clave y mensaje, se necesita mayor tiempo de proceso, las claves deben ser de mayor tamaño que las simétricas y el mensaje cifrado ocupa más espacio que el original.
La clave privada: se trata de una clave generada de forma aleatoria a partir de unos algoritmos matemáticos de una determinada longitud. En la actualidad se suele emplear para claves personales el algoritmo RSA y claves de 1.024 bits. Esta clave debe ser conocida y manejada únicamente por el usuario de esta.
La clave pública: esta clave esta generada en base a la anterior, si bien resulta extremadamente complejo inferir la clave privada una vez conocida esta clave pública. El objetivo de esta clave es permitir su intercambio, por lo cual su naturaleza es pública.
La clave pública generada se incorpora, junto con los datos del usuario del certificado a un documento formado en base al estándar X509 v.3.
Almacén en claro: La clave privada se almacena en el disco sin ninguna protección, salvo, en su caso, la protección habitual para ficheros sensibles.
Almacén en repositorios especiales: Microsoft, dispone de un gestor de claves y certificados propio, el cual te permite proteger la clave privada con una contraseña. Esto proporciona escasa seguridad.
Almacén PKCS12 / PEM: se trata de archivos contenedores de la clave privada, la clave pública y el certificado. La clave privada puede ser protegida por contraseña.
Almacén en tarjetas de memoria: algunas tarjetas de memoria permiten el almacén y recuperación de claves y certificados. Su principal ventaja es su portabilidad y su desventaja es que las operaciones criptográficas se realizan fuera de la tarjeta.
Almacén en tokens criptográficos: las tarjetas criptográficas dotan de la misma portabilidad que la tarjeta de memoria con el añadido de que las operaciones criptográficas se realizan en la propia tarjeta, por lo que la clave privada nunca sale de la misma.
Almacén en HSM: el hardware criptográfico otorga la misma funcionalidad que los tokens pero están optimizados para realizar procesos en batch. Es recomendable su uso cuando se realicen muchas operaciones criptográficas y se quiera dotar al sistema de una gran seguridad. Además puede acompañarse de aceleradores criptográficos que optimicen su funcionalidad.
Para la utilización de las claves de firma se recomienda en términos absolutos el uso de algún Módulo de Hardware Criptográfico , por su mayor eficiencia frente a la alternativa de almacenamiento software.
No obstante dependerá del alcance del proyecto la decisión respecto al medio a emplear, si bien debes tener en cuenta que la ley de firma electrónica exige la utilización de dispositivos seguros de creación de firma para la generación de firmas reconocidas.
Los certificados digitales.
Como parte fundamental de las relaciones que tu empresa pueda realizar con otras empresas o con las Administraciones Públicas de forma electrónica tenemos que conocer qué es y como funciona el certificado digital.
Un certificado digital contiene
La identificación del propietario del certificado .
Los datos del certificado .
El par de claves mediante las que se realiza la identificación: la clave pública y la clave privada. Estas claves son complementarias, lo que cifra una sólo puede ser descifrado por la otra, es decir, un mensaje cifrado con una clave privada sólo puede descifrarse con la clave pública asociada.
La clave privada jamás debe ser cedida, sólo será conocida por su propietario, ya que ésta es la base de la seguridad, mientras que la clave pública será conocida por el resto de personas.
Existen diversos tipos de certificados digitales sin embargo el más comúnmente utilizado es el estándar X.509v3de la UIT. La clave privada nunca debe ser desvelada por su propietario, está es la base de la seguridad de un certificado digital.
¿Cómo puedes obtener un certificado digital?
Lo solicitas a través de la página web de la Fábrica Nacional de la Moneda y Timbre la cual te asignará y enviará un código de solicitud asociado a una clave privada que te será remitido vía web.
Después debes personarte en una oficina de acreditación con tu documento de identidad y dicho código y tras la acreditación, procedes a la descarga del certificado vía web.
El certificado digital reconocido cumple con los principios de
Autenticación: la firma digital identifica al firmante, es equivalente a la firma física de un documento.
Integridad: es posible verificar que los documentos firmados no hayan sido alterados por terceras partes.
Algunos ejemplos de tipos de certificados son
Los certificados de persona física emitidos por la Fábrica Nacional de Moneda y Timbre, son gratuitos y van enfocados principalmente a su utilización ante las distintas Administraciones Públicas.
El certificado incluido en el DNI electrónico, también gratuito, permite trabajar con todas las Administraciones Públicas del Estado, tanto las de ámbito Estatal, como a nivel Autonómico y Local.
Algunos consejos que debes tener en cuenta par utilizar bien el certificado digital son
Como tienes la obligación de almacenar copia de las facturas o guardar la base de datos en tu ordenador, es recomendable que efectúes copias de seguridad de los archivos almacenados en tu ordenador con la periodicidad adecuada.
Además también es recomendable que en tu ordenador tengas instalado un antivirus vigente que de seguridad al proceso de envío telemático de las facturas electrónicas.
Para poder firmar un documento de forma electrónica es necesario tener un certificado digital y disponer de una aplicación que sirva para este fin.
Prestadores de Servicios de Certificación.
Uno de los problemas que debemos evitar es la interceptación de los mensajes en nuestras comunicaciones con las Administraciones y con otras empresas. Para solucionarlo existen los Prestadores de Servicios de Certificación.
Su forma de operar es la siguiente: el Prestador de Servicios de Certificación recibe la petición de un participante para que emita un certificado que garantice que su clave pública es precisamente la suya, para lo cual realiza las indagaciones necesarias que permitan confirmar la identidad del peticionario. Cuando tiene certeza de esta identidad emite un certificado en el que se recogen los datos de identificación e inseparablemente la clave pública del peticionario. En el certificado, todos estos datos van cifrados con la clave privada del Prestador de Servicios de Certificación. Dado que la clave pública del Prestador de Servicios de Certificación es conocida por todos los interlocutores, cualquiera es capaz de extraer los datos del certificado. Sin embargo, nadie es capaz de suplantar al Prestador de Servicios de Certificación emitiendo certificados falsos, ya que carece de su clave privada.
Si tu empresa tiene un certificado electrónico y la empresa con la que quieres intercambiar documentos también tiene otro, entonces ya no es necesario que intercambiéis las claves a través del medio de transmisión, sino que sólo intercambiareis vuestros certificados.
Cuando tú, como emisor de documentos, comunicas a otro tu certificado, indicas en realidad quien es el Prestador de Servicios de Certificación utilizado. La clave pública del Prestador de Servicios de Certificación debe ser conocida por todos y es la única que necesita ser conocida previamente.
Los parámetros que definen a un Prestador de Servicios de Certificación son
Su dirección de red y su clave pública.
Además es necesario especificar en su identificación: Entidad Emisora del Certificado, Departamento u Organización responsable de la custodia de la clave privada y ubicación, ciudad y país.
También se puede valorar aspectos como su Identificativo Fiscal o Referencia Registral.
Las Entidades de Registro.
El Prestador de Servicios de Certificación lleva asociada una Entidad de Registro para realizar la comprobación de la identidad del usuario en la primera certificación.
Certificaciones en presencia de un fedatario .
Certificaciones de Acreditación respecto a la capacidad suficiente para obrar o para representar a terceros.
Registro de contratos o transmisiones patrimoniales.
Protocolos y normas de seguridad en Internet.
Cuando realizamos una transacción a través de Internet necesitamos que el servidor que utilizamos sea seguro y para ello, lo normal es que la entidad financiera disponga de un certificado emitido por una Autoridad de Certificación quien analiza exhaustivamente los datos de la entidad solicitante y las normas de seguridad de su infraestructura.
Podemos identificar un servidor seguro cuando en el navegador aparece el símbolo correspondiente a un candado cerrado, y además en la URL el habitual http:// se convierte en https://.
Las pasarelas de pago en Internet emplean dos protocolos estándar de seguridad, el protocolo SSL y protocolo SET que permiten encriptar los datos personales que viajan por la red, de forma que sólo puede ser interpretada por el sistema del cliente y el del servidor, evitando un acceso no autorizado.
SSL cifra el número de las tarjetas de crédito al realizar cualquier transacción on line. El protocolo SSL ofrece servicio de cifrado de datos, autenticación del servidor e integridad de mensajes. SSL proporciona un canal electrónico seguro para realizar transacciones entre los servidores del banco, de la entidad emisora de la tarjeta y de la tienda on line y los navegadores a través del cual, cifrando los datos de compra, se pueden celebrar transacciones electrónicas con seguridad.
SET , asegura la identidad de las personas que participan en una transacción electrónica, protege la información que se envía y garantiza que esta no ha sido manipulada en el proceso.
Autentificación, entre todas las partes involucradas en una transacción económica .
Confidencialidad. La información de pago se cifra para que no pueda ser espiada mientras viaja por las redes de comunicaciones. SET cifra el número de tarjeta para que este no pueda ser visto ni siquiera por el comerciante.
Integridad. Garantiza que la información intercambiada no puede ser alterada de manera accidental o maliciosa mientras viaja por las redes telemáticas.
Intimidad. El banco emisor de la tarjeta no puede acceder a la información sobre los pedidos del titular.
Verificación Inmediata. También proporciona al comerciante una verificación inmediata, antes de completarse la compra de la disponibilidad de crédito y de la identidad del cliente, sin riesgo de que la transacción deba ser invalidada posteriormente.
Para obtener un certificado SET se puede visitar la página web de la Agencia de Certificación Española.
Tarjetas securizadas. El proceso habitual de compra con una tarjeta de crédito implica el envío de algunos datos básicos, como número de tarjeta, titular o fecha de caducidad, que pueden estar a disposición de cualquiera con cierta facilidad.
Las entidades bancarias están empezando a solicitar en sus pasarelas de pago un código secreto, similar al empleado en un cajero automático, para autorizar cualquier proceso de compra con una tarjeta de crédito.
, donde hay un lugar en el mundo con tanto donde elegir para dar el golpe. Desde luego si piensas en cometer un delito de robo, hay que reconocer que en Internet tienes millones de posibles candidatos. Esto mismo piensan los delincuentes habituales con lo que está claro que hay que tomar medidas para disuadirlos.
A diario, los delincuentes o ciber delincuentes como también son conocidos se hacen con el control de entre miles de sitios weblegítimos. Cuando los usuarios visitan cualquiera de ellos, sus equipos corren el peligro de infectarse con programas maliciosos que pueden robar datos, hacer uso de los recursos informáticos o dejar el sistema inutilizable.
Todos los usuarios de Internet tenemos que concienciarnos de que es imprescindible tomar medidas de seguridad contra cualquier tipo de infección de programas maliciosos a través de Internet. Antes, los programas maliciosos y el correo electrónico no deseado se forzaban a través de las puertas de enlace de las redes. Ahora, los ciber delincuentes engañan a los usuarios para que descarguen el contenido malicioso ellos mismos.
Este tipo de soluciones intentan eliminar los riesgos en nuestros equipos informáticos de varias formas
Limitando las vulnerabilidades del equipo restringiendo las aplicaciones.
Impidiendo visitar páginas con contenido ofensivo mediante el filtrado de direcciones web en tiempo real.
Bloqueando los ataques automáticos mediante el filtrado de programas maliciosos.
Impidiendo las conexiones de programas maliciosos mediante la prevención de fugas de datos.
Diseño de la seguridad en Internet.
La infraestructura informática de las empresas es una parte crítica en la continuidad de los procesos de negocio, de este modo, cualquier incidencia tiene un impacto económico, por lo que la empresa debe estar preparada para gestionar correctamente este servicio y afrontar con el mínimo impacto posible las incidencias que se vayan produciendo.
La elaboración de un plan de seguridad para una empresa tiene como objetivos principales
Determinación de activos y de procesos: Es imprescindible establecer lo más fielmente posible cuales son los activos y los procesos a proteger, por ejemplo, los activos a proteger serían, el hardware, el software y los datos. Los procesos también deben ser tenidos en cuenta ya que también forman parte de la realidad de la dinámica de trabajo.
Niveles de seguridad.
Evaluación del nivel actual de seguridad. Es importante saber de qué situación se parte para identificar las debilidades y fortalezas del sistema con el fin de poder repartir de manera óptima los esfuerzos.
Identificación de amenazas. Éstas varían en función del tipo de negocio.
Evaluación de costes. En materia de seguridad informática hay que hacer un cálculo preciso puesto que si no se pueden disparar.
Se deben evaluar cuidadosamente que nivel de seguridad se desea.
Fijar unos los niveles de riesgo aceptables. En función de los tres apartados anteriores: nivel actual de seguridad, la identificación de las amenazas y la evaluación de costes, se debe establecer cuál es el nivel de seguridad operativo y realista.
Prevenir los desastres. La preparación sobre lo que es necesario hacer en el caso de una situación catastrófica se vuelve fundamental para poder conseguir la continuidad del negocio tras superar estas situaciones, como por ejemplo en caso de no tener o que se pierdan las copias de seguridad.
Un plan de seguridad que esté bien redactado y planificado es aquel que se puede pasar de la teoría a la práctica sin prácticamente cambios.
Como cualquier cambio conlleva una serie de inconvenientes que afectan a la organización. La implementación debe identificarlos previamente para poder minimizarlos. Además se trata de un proceso dinámico, por lo que a medida que se produzca deberían poder identificarse los imprevistos para incorporarlos en el ciclo de mejora.
Zonas y niveles de seguridad.
La mayoría de las veces, los ataques a nuestros sistemas informáticos no se producen sobre los medios físicos, es decir ordenadores, móviles, tabletas, etc., sino contra la información almacenada y procesada en ellos.
Por lo tanto tenemos que aplicar barreras y procedimientos que protejan el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.
Las zonas de seguridad serán: restringir el acceso a los programas y archivos, asegurar que los trabajadores no puedan modificar los programas ni los archivos que no correspondan, asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto, que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro, que la información recibida sea la misma que ha sido transmitida, que existan sistemas alternativos secundarios de transmisión entre diferentes puntos y que se disponga de pasos alternativos de emergencia para la transmisión de información.
Controles de Acceso.
Identificación y Autentificación.
Roles. El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían: programador, gerente de un área, administrador del sistema, etc.
Transacciones. También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.
Limitaciones a los Servicios. Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Modalidad de Acceso.
Ubicación y Horario. El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana.
Niveles de Seguridad Informática. El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo. Estos niveles han sido la base de desarrollo de estándares europeos y luego internacionales .
Cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.
Nivel D. Son sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información.
Nivel C1: protección Discrecional. Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso.
Nivel C2: protección de Acceso Controlado. Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores.
Nivel B1: seguridad Etiquetada. Soporta seguridad multinivel, como la secreta y ultrasecreta. Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa.
Podemos entender la privacidad en Internet desde tres puntos de vista
Anonimato, es posible que no deseemos ser identificado totalmente.
Confidencialidad, esta bien compartir mi información siempre y cuando este informado de con quien la comparto y siempre sea con mi permiso.
Seguridad, las empresas o particulares que tengan acceso a tu información deben protegerla de que no sea robada por terceros.
Correo electrónico, cuando recibimos o enviamos mensajes a través del correo electrónico tenemos que entender que no es un correo privado sino que está expuesto a terceros que pueden aprovechar la información transmitida.
Foros, la participación en foros implica que cualquiera puede grabar tus datos u opiniones escritas.
Registro de dominios, cualquiera puede saber quien es le dueño de un dominio en internet.
Navegar por internet, los proveedores de servicios de internet pueden grabar nuestra actividad en la red.
Algunas de las medidas que debes adoptar para proteger tu privacidad y la de tu empresa en internet son
Instala un firewall, que conseguirá evitar el acceso a nuestro ordenador y también impide que usen un troyano que nos robe información sobre claves de tarjetas de crédito.
Instala un antivirus que se actualice cada poco espacio de tiempo y que también detecte spyware.
Instala un antispyware que ayude a eliminar el spyware que haya conseguido entrar a través de distintas páginas.
Usa un explorador de internet actualizado y que cumpla todos los requisitos de seguridad.
Mantén actualizado el sistema operativo para evitar los fallos por los que pueden entrar en él.
No entres en páginas web sospechosas, actualmente los navegadores tienen escalas de confiabilidad.
Cuando envíes un correo electrónico a varios contactos utiliza la opción CCO con copia oculta para no mostrar los contactos y parezcan como privados.
No realices transacciones comerciales en páginas web no seguras, las seguras tienen una s después del http, es decir, https.
Elije contraseñas que no tengan sentido utilizando una combinación de palabras mayúsculas, minúsculas, números y símbolos.
Especial cuidado requiere el correo electrónico y las condiciones de uso, puesto que tenemos que entender que el correo electrónico es un medio de comunicación especialmente delicado, y es muy fácil que uno de los receptores de tu mensaje sea, precisamente, la última persona que hubieras deseado que lo leyera. Hay, además, muchas páginas que solicitan a sus usuarios información personal para registrarse, y, debemos ser conscientes de que, al aceptar los términos y condiciones de privacidad podríamos estar dando permiso a cualquiera para hacer con nuestra información lo que desee.
Las cookies.
Como ya hemos aprendido en anteriores epígrafes las cookies, o galletas en castellano, son fragmentos de información, pequeños archivos de programa, que quedan guardadas en nuestro ordenador por medio del navegador cuando visitamos un sitio web. Por ejemplo, si has visitado una página y has elegido alguna característica de dicha página, esos datos de la navegación quedarán guardados en el navegador para las siguientes veces que accedas, y la página se cargue más rápidamente y se te presente la página de la forma que se sabe que prefieres verla.
En principio, las cookiesno tienen porque se malas, pero, como pueden almacenar información en nuestro ordenador sin que nos demos cuenta o sin que demos nuestro consentimiento, deben cumplir una serie de características para que no resulten peligrosas, como por ejemplo, almacenar sólo texto, nada de imágenes o archivos ejecutables. También tienen una fecha de caducidad, que es el tiempo que se conservará en el navegador, y cuando se cumpla se borrará.
Si se utiliza más de un navegador, cada uno tendrá su propio almacén de cookies. Por tanto, no se utilizan para identificar personas concretas, sino que identifican la combinación cuenta de usuario del sitio webmás ordenador más navegador.
Cuando tenemos una página web de empresa podemos administrar qué parte de los contenidos de dicha página sean accesibles para todos los navegantes por Internet y qué otros contenidos tengan un acceso restringido sólo a determinados usuarios que cuentan con un nombre de usuario y una clave de acceso. Esta parte de la página web se suele denominar como «área privada».
La tipología de las áreas privadas es muy diversa. Podemos tener una página web con secciones privadas que simplemente ofrecen más datos que los existentes en la zona pública. Por ejemplo, aquellas páginas web que sólo muestran determinados vídeos, o que permiten la descarga de algún tipo de fichero, o que dan acceso a contenidos completos, únicamente a usuarios registrados que han introducido ya sus claves.
Otro tipo de áreas privadas son más complejas, y permiten realizar transacciones online. comprar productos o contratar servicios y consultar documentos, más allá de lo que pueda ser una típica tienda online, o una zona de descarga de contenidos adicionales.
El registro puede ser gratuito, y por lo tanto, su objetivo es recabar datos de los usuarios, o bien puede ser de pago.
Los tipos de contenidos restringidos que podemos encontrar son
Contenido de acceso mediante clave. Hay casos en los que los contenidos restringidos se muestran una vez que el usuario ha introducido sus claves, como parte del resto de contenidos. Es decir, no existe una separación explícita entre contenidos públicos y privados. En este caso, no estamos hablando de un área privada propiamente dicha. Para verlos, en necesario estar entrar al sitio web con las claves asignadas.
Descarga de archivos. En otras ocasiones, los usuarios encuentran toda una sección que se halla restringida. Una vez en ella, tanto el diseño como la navegación son iguales al resto de la web. Hablamos aquí de una sección privada. Es el típico caso de las secciones que permiten la descarga de archivos a quien esté dentro de la sesión. Ejemplos de esto son la web de un mayorista que ofrece a sus distribuidores las tarifas actualizadas, o aquellas páginas web que permiten descargar tonos, salvapantallas, fondos de escritorio, freeware o shareware, etc. a cualquier usuario que se registre.
Áreas operativas. Existen áreas en las que, una vez introducidas las claves, el usuario accede a un entorno completamente distinto al entorno público. Esto suele ocurrir cuando el área privada es operativa, es decir, permite realizar transacciones, contratar servicios, consultar documentos o informar de incidencias. En este nivel, los usuarios son normalmente clientes, y han accedido a la página con una clara finalidad. Lo normal es que el registro no sea online, sino que al estar reservado a clientes, o a usuarios relacionados con la empresa que gestiona la página, las claves son facilitadas a los interesados, por teléfono, por correo postal o por correo electrónico. La elección del sistema de distribución de claves depende exclusivamente del tipo de información que se gestionará a través del área privada, y del grado de protección requerido por dicha información.
Servidor seguro. Según el tipo de información que se gestione, además, será necesario o no que el área privada opere sobre un servidor seguro. Las áreas del último nivel, por ejemplo, deberían estar todas sobre servidores https. Independientemente del motivo para el que se registre el usuario, bien para descargarse un salvapantallas, o para solicitar productos y consultar facturas pendientes, si le estamos pidiendo datos como el correo electrónico y el nombre, el formulario debería operar sobre entorno seguro https. 5.6.- Riesgos en Internet.
Como ya hemos comentado en anteriores epígrafes, la seguridad en Internet es una tarea fundamental hoy en día. El acceso Internet se ha generalizado y con ello aumentan los riesgos y las amenazas.
Toda organización empresarial debe implementar, por encima del coste económico que pueda suponerle, un sistema de seguridad que minimice los riesgos derivados de Internet, entre otros para mantener la disponibilidad, confidencialidad e integridad de la información de su empresa.
Robo de identidad.
Virus, gusanos y troyanos.
Spyware.
Hackers y crackers.
Phishingy estafas on line.
La recopilación de direcciones de correo electrónico.
La suplantación de identidad.
La instalación de software malicioso.
Cuando nos exponemos a riesgos en Internet no tenemos un patrón común para saber cómo defendernos, puesto que en muchos casos cada ataque tiene unas peculiaridades diferentes y requieren de un tratamiento diferente en función de la configuración de nuestra empresa. Hay que tener en cuenta además que muchos servicios de Internet se basan en el intercambio o consumo de información personal, que deberemos valorar personalmente hasta donde estamos dispuestos a compartir. En el caso de las redes sociales, siempre es aconsejable definir dos perfiles un perfil personal y otro profesional bien diferenciados y no mezclarlos ni los contenidos incorporados ni en los contactos de amigos o profesionales, puesto que lo que en el ámbito privado personal puede ser aceptable, puede ser una fuente de quebraderos de cabeza en el ámbito profesional.
Amenazas y delitos en Internet.
Las amenazas que tu empresa o tu mismo puedes sufrir durante el uso de la red Internet son muy variadas y cada año surgen nuevas tipos por lo que hay que estar siempre alerta ante la aparición de nuevos riesgos.
Uno de los principales problemas con que cuenta Internet a la hora de abordar el tema de la seguridad es el del anonimato de las actuaciones, lo que implica que la imputación del delito se hace muy difícil o imposible. Los delincuentes informáticos están bien informados de cómo esconderse, operan con identidad falsa, puesto que realizan registros de nombre de dominio falsos, utilizan tarjetas de crédito robadas y para proteger su anonimato utilizan proxies web, redes que permiten el anonimato y las redes peer to peer.
Entre las actuaciones típicas de los delincuentes informáticos está la utilización de un Botnet que es una red de robots que de forma automática se pueden programar para que realicen tareas específicas. También se les conoce como zombies y pueden llegar a controlar miles de ordenadores.
Los delitos informáticos los podemos ordenar en cuatro grupos
Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos.
Acceso ilícito a sistemas informáticos.
Interceptación ilícita de datos informáticos.
Interferencia en el funcionamiento de un sistema informático.
Abuso de dispositivos que faciliten la comisión de los anteriores delitos.
Delitos informáticos.
Falsificación informática mediante la introducción, alteración, borrada o supresión de datos informáticos.
Fraude informático mediante la introducción, alteración o borrado de datos informáticos, o la interferencia en sistemas informáticos.
Delitos relacionados con el contenido, como son la producción, oferta, difusión, transmisión, adquisición o tenencia, en sistemas o soportes informáticos, de contenidos de pornografía infantil.
Y según el Código Penal español los tipos de delitos informáticos recogidos en él son
Las amenazas.
Los delitos de exhibicionismo y provocación sexual.
Los delitos relativos a la prostitución y corrupción de menores.
Delitos contra la intimidad y contra el honor.
Las estafas.
Las defraudaciones de fluido eléctrico. como por ejemplo robar parte de la red u otra señal.
Los daños. Se entiende en un sentido general.
Los delitos relativos a la propiedad intelectual y a la industrial.
Los delitos relativos al mercado y a los consumidores.
Los delitos relativos al mercado y a los consumidores. Aquí se encontraría incluida la publicidad engañosa que se publique o difunda por Internet.
Los virus informáticos.
El término virus informático es el más conocido y difundido entre los usuarios de la informática en general, habitualmente cuando tenemos un problema en el ordenador decimos que nos ha entrado un virus, pero en realidad los virus informáticos son una amplia familia de amenazas informáticas, entre las que están los troyanos, gusanos, bombas lógicas, etc.
En primer lugar, definimos un virus informático como un programa que se copia automáticamente en nuestros equipos informáticos y que tiene por objeto alterar el normal funcionamiento del ordenador, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Una de las perores consecuencias que pueden tener los virus informáticos es la de destruir, de manera intencionada, los datos almacenados en un ordenador.
Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, son muy nocivos y algunos contienen además una carga dañina conocida como payload con distintos objetivos, que van desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.
El funcionamiento de un virus informático es simple, normalmente se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda alojado en la memoria RAM del ordenador, incluso cuando el programa que lo contenía haya terminado de ejecutarse.
El virus toma entonces el control de los servicios básicos del sistema operativo, infectando archivos ejecutables que sean llamados para su ejecución.
Algunas de las formas de contaminación más frecuentes son
A través de mensajes que ejecutan automáticamente programas.
Por sistemas de ingeniería social, con mensajes gancho como «ejecute este programa y gane un premio».
Por la entrada de información en tus discos duros de otros usuarios infectados.
Por que instalamos softwaremodificado o de dudosa procedencia.
Los métodos de evitar o prevenir la infección de los equipos por virus pueden ser activos y pasivos.
Antivirus:son programas que tratan de descubrir las trazas que ha dejado un software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminación.
Filtros de ficheros: consiste en generar filtros de ficheros dañinos si el ordenador está conectado a una red.
Pasivos
No introducir en tu ordenador discos duros extraíbles que puedan estar infectados con algún virus.
No instalar software pirata, pues puede tener dudosa procedencia.
No abrir mensajes provenientes de una dirección electrónica desconocida.
No aceptar correos electrónicos de desconocidos.
Informarse y utilizar sistemas operativos seguros.
No abrir documentos sin asegurarnos del tipo de archivo.
Bombas.
Una bomba lógica es una parte de código informático insertada intencionalmente en un programa informático que permanece oculto hasta cumplirse una o más condiciones preprogramadas, en ese momento se ejecuta una acción maliciosa. Estás bombas lógicas no fueron introducidas sólo en las redes de ordenadores a través de módem, sino que también surgieron programadores que realizaban programas de encargo, e incluían bombas lógicas por si no eran pagados.
Por ejemplo, un programador puede ocultar una pieza de código que comience a borrar archivos cuando sea despedido de la compañía. El caso más famoso es el de Donald Gene Burleson. El señor Burleson fue despedido de la empresa por lo que como represalia realizó una bomba lógica que se activaba el 21 de septiembre, dos días después de su despido. La bomba borró 168.000 registros de comisiones y nóminas. Burleson fue condenado a 7 años de libertad condicional y 12.000 dólares de indemnización para su antigua empresa. Esta fue la primera condena impuesta a un hombre por un sabotaje informático.
El softwareque es malicioso, como virus o gusanos informáticos, frecuentemente contiene bombas lógicas que ejecutan algún programa en un tiempo predefinido o cuando cierta condición se cumple.
Por ejemplo los programas demostraciones, que desactivan cierta funcionalidad después de un tiempo prefijado, no son considerados como bombas lógicas.
Las bombas lógicas pueden realizar alguna de las siguientes acciones: borrar información del disco duro, mostrar un mensaje, reproducir una canción, enviar un correo electrónico, apagar el monitor, etc.
Los troyanos que se activan en ciertas fechas son llamados frecuentemente bombas de tiempo.
A diferencia de un virus, una bomba lógica jamás se reproduce por si sola.
Día de la semana concreto.
Hora concreta.
Pulsación de una tecla o una secuencia de teclas concreta.
Levantamiento de una interfaz de red concreto.
Uno de los casos más conocidos del uso de una bomba lógica en un caso de espionaje industrial, aunque nunca fuera demostrado como tal, es el del incidente, del gasoducto de Siberia. La antigua Unión Soviética se jactaba de haber robado softwarede gestión de gaseoductos a una empresa canadiense en 1982. Supuestamente, los Estados Unidos a través de la Agencia Central de Inteligencia podría haber utilizado una técnica para sabotear dicho gaseoducto de gas natural incluyendo una bomba lógica en el softwarerobado. Se produjo la mayor explosión no nuclear de la historia y fue el primer incendio visto desde el espacio. En todo, caso nunca se demostró que esto fuera así y el accidente se pudo producir por otras causas.
Troyanos.
Entendemos por un ataque informático de tipo troyano, a intrusión de un programa malicioso capaz de alojarse enequipos informáticos y permitir el acceso de usuarios externos a dichos equipos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente el equipo anfitrión, pero sin afectar al funcionamiento de éste.
Un troyano no es estrictamente un virus informático, y la principal diferencia con estos es que los troyanos no propagan la infección a otros sistemas por sí mismos.
Suele ser un programa pequeño alojado dentro de una aplicación, una imagen, un archivo de música u otro elemento de apariencia inocente, que se instala en el sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar una función útil, aunque cierto tipo de troyanos permanecen ocultos y por tal motivo los antivirus o anti troyanos no los eliminan, pero internamente realiza otras tareas de las que el usuario no es consciente. Como puedes ver su funcionamiento es similar al famoso Caballo de Troya con el que los griegos consiguieron conquistar Troya, construyeron un caballo enorme de madera hueco donde se alojaron las tropas griegas, y lo revistieron de inofensivo regalo para los troyanos, que cuando estos, abrieron las puertas de su fortaleza y lo metieron dentro, salieron las tropas griegas y tomaron la ciudad.
Habitualmente los troyanos se utilizan para espiar, usando la técnica para instalar un software de acceso remoto que permite monitorizar lo que el usuario legítimo del ordenador hace y, por ejemplo, capturar las pulsaciones del teclado con el fin de obtener contraseñas u otra información sensible.
Algunas de las operaciones que se pueden llevar a cabo los troyanos en el ordenador son
Utilizar la máquina como parte de una botnet, por ejemplo, para realizar ataques de denegación de servicio o envío de spam.
Instalación de otros programas, por supuesto incluyendo otros programas maliciosos.
Robo de información personal, como información bancaria, contraseñas, códigos de seguridad. Sin duda este puede ser para una empresa o un particular uno de los peores ataques que puede sufrir.
Borrado, modificación o transferencia de archivos.
Ejecutar o terminar procesos. Apagar o reiniciar el equipo. Monitorizar las pulsaciones del teclado. Realizar capturas de pantalla. Ocupar el espacio libre del disco duro con archivos inútiles. Borrar el disco duro.
Gusanos.
Los gusanos informáticos, también conocidos por su nombre en inglés, worm, son programas maliciosos o malware que tienen la propiedad de duplicarse a sí mismos. Los gusanos utilizan las partes automáticas de un sistema operativo y que normalmente son invisibles al usuario.
La diferencia con los virus, es que los gusanos no precisan alterar los archivos de programas, sino que residen en la memoria y se duplican a sí mismos. Los gusanos casi siempre causan problemas en la red, aunque sea simplemente consumiendo ancho de banda, mientras que los virus siempre infectan o corrompen los archivos del equipo informático que atacan.
La manera habitual de detectarlos es porque ellos mismos se delatan, consumiendo tantos recursos del sistema que hace que la realización de cualquier tarea ordinaria sea lentísima.
Los gusanos utilizan las redes de ordenadores para enviar copias de sí mismos a otros nodos, es decir, a otras terminales en la red y son capaces de llevar esto a cabo sin intervención del usuario propagándose, utilizando Internet.
Lo que hace realmente peligrosos a los gusanos informáticos es su capacidad para replicarse en tu sistema, por lo que tu ordenador podría enviar muchas copias de sí mismo, creando saturación. Un ejemplo sería el envío de una copia de sí mismo a cada uno de los contactos de tu libreta de direcciones de tu programa gestor de correos. Entonces, el gusano se replica y se envía a cada uno de los contactos de la libreta de direcciones de cada uno de los receptores, y así continuamente.
Los gusanos actuales se transmiten principalmente a través del correo electrónico, sobre todo a través de gestores de correo que tienen vulnerabilidades, mediante el uso de adjuntos que contienen instrucciones para recolectar todas las direcciones de correo electrónico de la libreta de direcciones y enviar copias de ellos mismos a todos los destinatarios. Estos gusanos son archivos ejecutables enviados como un adjunto, que se activan cuando el destinatario hace clic en el adjunto.
Los gusanos informáticos utilizan técnicas de ingeniería social para conseguir mayor efectividad. Siempre aparecen ligados a un tema o un nombre atractivo con el que camuflar el archivo malicioso. Los temas más utilizados son los relacionados con el sexo, famosos, temas morbosos, temas de actualidad, etc.
Hoy en día los gusanos están diseñados para obtener beneficios económicos. Intentan controlar miles de ordenadores en todo el mundo a los que envían spam, lanzan ataques de denegación de servicio o descargan archivos maliciosos, para convertirlos en zombies.
Formas de proteger a tu empresa de los Gusanos Informáticos.
Antes de ejecutar cualquier archivo que pueda resultar sospechoso, analízalo con su antivirus.
Tienes que mantener siempre actualizado el programa antivirus.
Protección de datos.
La Ley Orgánica de Protección de Datos y su Reglamento de Desarrollo responde a la necesidad de proteger todos los datos de carácter personal de los usuarios de Internet, para que no sean utilizados de forma inadecuada, ni tratados o cedidos a terceros sin consentimiento inequívoco del titular.
La ley Orgánica de Protección de Datos obliga a las empresas a adoptar las medidas de carácter técnico, organizativo y/o jurídico que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Estas medidas se fijan en función del nivel de seguridad correspondiente al fichero que los alberga, y en función del soporte utilizado para del mismo que puede ser automatizado o no automatizado.
Nivel básico, se recogerán los siguientes datos: nombre, apellidos, datos de contacto y cualquier otro dato que no sea nivel medio o alto.
Estas son algunas de las medidas de seguridad incluidas en los niveles de seguridad
Elaborar el documento de seguridad, el documento de seguridad recoge las medidas técnicas y organizativas de obligado cumplimiento para el personal con acceso a los sistemas de información cuando éstos incorporen datos de carácter personal.
Definir un responsable de seguridad, el responsable de seguridad coordina y controla las medidas de seguridad implementadas en la empresa. así, estará siempre informado acerca de cualquier suceso que pueda afectar a los ficheros con datos de carácter personal.
Divulgar la normativa de seguridad al personal, se deben adoptar las medidas necesarias para que todo el personal de la empresa conozca las normas de seguridad que afectan al desarrollo de sus funciones.
Definir y documentar los procedimientos de control de acceso
Disponer de copias de respaldo.
Establecer dispositivos de almacenamiento válidos.
Informar al interesado sobre la recogida de datos.
Solicitar el consentimiento del interesado para que la empresa pueda utilizar sus datos.
Atender los derechos de acceso, rectificación, cancelación y oposición que ejerzan los ciudadanos titulares de los datos.
Recabar el consentimiento del interesado en el caso de cesión de los datos del mismo a terceros.
Observar las disposiciones previstas en la ley en los casos en que se transmitan los datos fuera del Espacio Económico Europeo.
Deber de guardar secreto.
Robo de identidad o phishing.
El phising o robo de identidad es una forma de ingeniería social por la que los estafadores intentan obtener de forma fraudulenta información sensible de un usuario de Internet suplantando la identidad de un tercero de confianza. El principal objetivo de estas estafas es normalmente el acceso a las claves de los usuarios de banca en Internet o sitios webdedicados a las subastas, en los que es factible tener acceso a cuentas bancarias y tarjetas de crédito. El cauce más habitual de difusión de estos ataques es el correo electrónico. Es habitual recibir mensajes remitidos supuestamente desde los servicios de atención al cliente de un banco que nos requieren, por ejemplo, la introducción de un código de usuario y su clave de acceso para validarlos en un formulario que simula ser parte del sitio webde una entidad financiera. Otra modalidad, de reciente aparición, es la que utiliza el canal telefónico, realizando una llamada al domicilio del usuario simulando hacerlo desde el Centro de Atención al Cliente de un Proveedor de Servicios de Internet y solicitando al usuario que introduzca datos de carácter personal en un formulario colocado en un sitio webcontrolado por los atacantes.
Otra variante de estas estafas es el pharming, de mayor complejidad técnica en su desarrollo, y que se trata de conducir al usuario a un sitio websimulado, alterando bien los servidores del sistema de nombres de dominio de Internet o bien manipulando ficheros en los equipos de los usuarios con la finalidad de que redirijan las peticiones de acceso a determinados sitios weba otros sistemas controlados por el atacante.
Algunas de las tácticas que emplean pueden ser
Simulando ser empresas legítimas, pueden utilizar el correo electrónico para solicitar información personal e inducir a los destinatarios a responder a través de sitios webmaliciosos.
Suelen utilizar tácticas alarmistas o solicitudes urgentes para tentar a los destinatarios a responder.
Los sitios de robo de identidad parecen sitios legítimos, ya que tienden a utilizar las imágenes de copyright de los sitios legítimos.
Para que tu empresa no caiga en este tipo de estafa es aconsejable que sigas las siguientes recomendaciones
No instales software que no proceda de una fuente fiable.
Utiliza programas antivirus, instala cortafuegos y programas especializados en el control de spyware y sus variedades.
...