xi congreso internacional de la academia de …acacia.org.mx/busqueda/pdf/p02t10.pdf · software,...

Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 1

XI CONGRESO INTERNACIONAL DE LA ACADEMIA DE CIENCIAS ADMINISTRATIVAS, A.C. (ACACIA)

GUADALAJARA, JALISCO, MÉXICO “CIENCIA, TECNOLOGÍA E INNOVACIÓN RETOS PARA LA ADMINISTRACIÓN DEL SIGLO XXI”

23, 24 y 25 DE MAYO DE 2007

TÍTULO DE LA PONENCIA:

“VULNERABILIDAD DE LOS SISTEMAS, DELITOS POR COMPUTADORA Y MEDIDAS DE SEGURIDAD EN LA INFORMACIÓN”

MESA DE TRABAJO:

INNOVACIÓN Y TECNOLOGÍA

NOMBRE DEL AUTOR RESPONSABLE:

C.P.C. SANTIAGO LECHUGA SUAZO Correo electrónico personal: [email protected] Teléfono de Casa (01) (55) 24521879 Domicilio: Nilo No. 232 Departamento 3, Colonia Clavería

Delegación Azcapotzalco, México, D.F., Código Postal 02080

INSTITUCIONES DE ADSCRIPCIÓN:

U.N.A.M. (EGRESADO) FACULTAD DE CONTADURÍA Y ADMINISTRACIÓN Candidato a la obtención del Grado de Maestro en Auditoría Departamento de Vinculación y Grados Académicos Teléfono: (01) (55) 56228467

TEMA DE TESIS DE MAESTRÍA: Consideraciones de Fraude en la Auditoría de Estados Financieros

CÍA. DE LUZ Y FUERZA DEL CENTRO (LUGAR DE TRABAJO) Av. Melchor Ocampo No. 171, Colonia Tlaxpana (Órgano Interno de Control 3er Piso) Delegación Miguel Hidalgo, Código Postal 11379, México, D.F. Teléfonos: Oficina (01) (55) 51287271.

EXPERIENCIA DOCENTE: A nivel licenciatura de las carreras contaduría y administración, en Instituciones públicas y privadas durante 7 años.


TÍTULO DE LA PONENCIA:

“VULNERABILIDAD DE LOS SISTEMAS, DELITOS POR COMPUTADORA Y MEDIDAS DE SEGURIDAD EN LA INFORMACIÓN”

Resumen

En el presente artículo de investigación se exponen aspectos relacionados con la

administración de los recursos de la tecnología de la información. Primero, se muestra

las fallas y vulnerabilidad de los sistemas de información, segundo, se describen las

amenazas a dichos sistemas a través de la comisión del delito de fraude que atenta

contra el patrimonio de las personas, citado con frecuencia en los ambientes

empresariales, y análisis de la variedad de ese delito como son los ataques o daños al

contenido de los sistemas computarizados (delitos informáticos) debido a la evolución

de los delitos por computadora y a la época de la economía digital, además se incluye

análisis sobre las causas a esos actos debido a un posible mal funcionamiento; tercero,

se exponen los puntos principales relacionados a la protección de los sistemas de

información, clasificado en controles generales y en controles de aplicación, cuarto, se

describe la importancia de la auditoría a los sistemas de información así como las

medidas de seguridad en información. La administración de los sistemas de información

representa el uso y control de recursos técnicos, excepto que a la vez existen

problemas administrativos a resolver, porque su operación está inmersa a las

organizaciones de cualquier tamaño, así también se hace énfasis de aquellas

amenazas de riesgos que atentan la seguridad física y lógica de la administración de

estos recursos.

Palabras clave: Fallas de sistemas de información, Vulnerabilidad de los sistemas, Delitos por Computadora, Protección de los Sistemas de Información y Auditoría a la tecnología de información.


Introducción

La mayor parte de las grandes corporaciones, medianas, e incluso pequeñas; alrededor

del mundo, dependen en grado sumo de la tecnología de la información. Sus sistemas

de información tienen una importancia estratégica considerable así como la

administración de los recursos de dichas tecnologías. Sin lugar a dudas los sistemas de

información pueden convertirse en un peligroso y costoso problema cuando se

colapsan. Los recursos de información que incluyen computadoras, redes, programas y

datos resultan vulnerables a los ataques impredecibles. Ahora la protección de sistemas

conectados en red puede ser un problema complejo, la responsabilidad para proteger y

administrar recursos de información se divide entre el departamento de sistemas de

información y los usuarios finales; la división no es clara en una centralización o

descentralización por otra parte, sólo las compañías que utilizan la planeación y la

recuperación ante desastres reciben adecuada protección de su información.

Las acciones de la gente o de la naturaleza pueden provocar que un sistema de

información funcione de una manera diferente a la que fue planeada. Es importante, por

lo tanto, saber cómo asegurar la operación continua de un sistema de información y qué

hacer si el sistema se colapsa. Esta problemática resulta de interés para la

administración de los recursos de información: las telecomunicaciones, redes locales,

software, hardware, Internet, Intranet, Extranet, y otros recursos con lenguajes

complejos, por ejemplo, las redes neuronales y los sistemas difusos.

Amenazas y ataques en la tecnología de computación forman parte del lenguaje común

de las organizaciones, todos los días se publican noticias acerca de errores de datos,

robos, allanamientos de morada, incendios y sabotajes relacionados con las

computadoras. Si existe escasa seguridad de las computadoras y añadimos la carencia

de controles internos, estas dos deficiencias incrementan considerablemente la

vulnerabilidad en los sistemas de una organización ante:

§ Perpetración de fraudes.

§ Robo de información electrónica,


§ Robo de información física, como impresiones o discos y cintas de computadora.

§ Invasión de la privacidad.

§ Daño a computadoras y equipos periféricos.

§ Intercepción de comunicaciones.

§ Grabación ilegal de emanaciones electromagnéticas de computadoras.

§ Errores de datos involuntarios debidos a descuidos o negligencia.

§ Pérdida de la integridad de la información a través de alteraciones y modificaciones

no autorizadas de datos.

§ Sabotaje por empleados inconformes o por competidores.

§ Fallas de energía eléctrica.

§ Uso no autorizado de marcas o invenciones industriales.

Los seguros contratados contra delitos cubrirán áreas como robo, fraude, destrucción

intencional y falsificación. El seguro por interrupción de los negocios cubre pérdida de

ganancias durante el tiempo de inactividad de la operación, incluyendo al equipo de

cómputo en tránsito. Es recomendable realizar un análisis de riesgo al planificar las

políticas de seguridad informática y de soporte financiero. Los riesgos de seguridad en

los equipos de cómputo se clasifica en ataques intencionales a la organización y al

medio ambiente. La amenaza proviene de delincuentes computacionales y de

empleados inconformes que intentan defraudar, sabotear, “hackear” y “crakear”. Esta

amenaza también proviene de usuarios finales descuidados o negligentes. Por último,

la amenaza en ocasiones proviene del medio ambiente; una organización debe

protegerse de desastres como incendios, inundaciones y terremotos.

Ante los delitos por computadora y desastres provocados por la naturaleza a los

equipos computacionales, el director de información recurrirá a la protección de los

sistemas de información, las medidas de seguridad y controles funcionales, estrategias

de defensa, la aplicación cuidadosa de los controles generales y de aplicaciones,

controles de comunicaciones, protección de redes y firewalls, auditoría de sistemas de

información, planeación de recuperación de desastres y el control y seguridad en el

siglo XXI.


1. Los riesgos en los sistemas de información

La información se transmite hacia la organización y desde ésta y entre los componentes

de la misma, los empleados viajan con sus computadoras y datos corporativos y los

llevan a casa. Los recursos físicos de los sistemas de información, los datos, el

software, los procedimientos y cualquier otro recurso de información se encuentran

vulnerables en muchos lugares y en cualquier momento. Antes de tratar los problemas

relacionados con la seguridad en la información y las soluciones propuestas, a

continuación citamos algunos términos relacionados con el tema:

• Amenazas (o peligros): los diversos peligros a los cuales quizás pueda estar

expuesto el sistema.

• Controles de los sistemas de información: los procedimientos, dispositivos o

software cada uno intentan asegurar que el sistema se desempeñe como se planeó.

• Desencriptado: transformación de un código confuso en datos legibles después de

la transmisión.

• Encriptado: transformación de los datos en un código confuso antes de su

transmisión.

• Exposición: el perjuicio, pérdida o daño que puede resultar si algo ha estado

incorrecto en un sistema de información.

• Integridad (de datos): una garantía de la precisión, integridad y confiabilidad de los

datos. La integridad del sistema depende de la integridad de sus componentes y su

información. Respaldo: una copia de los datos y/o de los programas que se mantiene en un lugar (es) seguro (s).

• Riesgo: la probabilidad de que se materialice una amenaza.

• Tolerancia a fallas: la capacidad de un sistema de información para continuar

operando (usualmente por un tiempo limitado y/o a una escala reducida) cuando se

presenta una falla.

• Vulnerabilidad: puesto que exista una amenaza, la susceptibilidad del sistema al

daño provocado por la amenaza. Los negocios que dependen de las computadoras

tienen un serio problema cuando ocurre un desastre, los sistemas de información

pueden sufrir daños por varias razones, por ejemplo, el Cuadro 1 muestran los

incidentes de fallas en los sistemas referidos.


Cuadro 1

CASOS REPRESENTATIVOS DE FALLAS EN LOS SISTEMAS DE INFORMACIÓN

No. Descripción

1 El domingo 8 de mayo de 1998, un incendio deshabilitó un gran centro de conmutación de Illinois Bell en Hinsdale, Illinois. La salida del servicio afectó las telecomunicaciones de voz y datos de más de 500,000 residentes y de cientos de empresas durante un periodo que varió entre dos días y tres semanas. Los principales efectos en las empresas incluyeron: • Docenas de bancos no pudieron cambiar cheques y transferir fondos. • Al menos 150 agencias de viajes sin reservar e imprimir boletos. • Cerca de 300 cajeros automáticos quedaron fuera de servicio. • La mayor parte de los teléfonos celulares y sistemas de paginación de

interrumpieron. • Cientos de compañías vieron obstaculizadas sus operaciones, tanto en el

interior como en el exterior de su área inmediata. • Los costos de los negocios se estimaron en $300 millones de dólares.

2 Un cajero automático ubicado en un centro comercial en Hartford, Connecticut, daba a los clientes la nota de disculpa: “lo sentimos, servicio no disponible”. Entre tanto, la máquina registraba los números de tarjeta y los NIP de los cientos de clientes en sus intentos por obtener el servicio de la máquina. En mayo de 1993, mientras la máquina descompuesta operaba en el centro comercial, empezaron a ocurrir robos hormiga a los clientes de Hartford, los ladrones extrajeron cerca de $100,000 dólares de las cuentas de clientes inocentes. Los criminales lograron que un cajero automático hiciera algo para lo cual supuestamente no está diseñado: violar su propia seguridad registrando números de tarjetas bancarias junto con códigos de seguridad personal.

3 Los Angeles Times informó, en 1996: “Las computadoras provocan un error de $850 millones de dólares en el Social Security”. El mal funcionamiento dio lugar a un cálculo incorrecto de las pensiones de 700,000 estadounidenses y nadie se dio cuenta de ello durante casi 23 años, hasta que el problema salió a la luz durante una auditoría realizada en 1994. Aunque el periódico culpó a las computadoras, en realidad la falla correspondía a los programadores, que fueron incapaces de automatizar en una forma apropiada los complejos cálculos de las pensiones. Reparar el daño tardó más de tres años.

4 En 1994, un hacker ruso (¡que no sabía inglés!) irrumpió en el sistema de transferencia electrónica de fondos del City Bank y robó más de $10 millones de dólares distribuyéndolos en cuentas alrededor del mundo. Desde entonces, City Bank, un gigante bancario que maneja más de un billón de dólares diarios, aumentó sus medidas de seguridad, lo que requirió que los clientes utilicen dispositivos electrónicos que crean nuevos números confidenciales con bastante frecuencia.


Estos incidentes ilustran la vulnerabilidad de los sistemas de información de causas de

los problemas de seguridad en las computadoras y los daños causados sustanciales

para las organizaciones. (Turban, McClean y Wetherbe, 2006: 787). Cada sistema de

información es vulnerable a muchos peligros potenciales. La Gráfica 1 presenta un resumen de las principales amenazas para la seguridad de estos sistemas. La

vulnerabilidad de los sistemas de información se incrementa a medida que nos

movemos al mundo del cómputo en red. Las amenazas no intencionales se dividen en: errores humanos, peligros del entorno y fallas de los sistemas computarizados. 1 Los

problemas de las computadoras surgen a partir de errores humanos. Asimismo, pueden ocurrir en la programación, la prueba, la recolección de datos, la entrada de los mismos,

la autorización y las instrucciones. Los errores humanos contribuyen a la vasta mayoría

de problemas relacionados con el control –y la seguridad en muchas organizaciones.

Los Peligros del entorno incluyen terremotos, huracanes, nevadas intensas,

tolvaneras, las tormentas, inundaciones, tornados, fallas del suministro eléctrico o sus

fluctuaciones severas, incendios (el más común de los peligros), acondicionamiento de

aire defectuoso, explosiones, precipitaciones radioactivas y fallas de los sistemas de

enfriamiento por agua. Además del daño de la combustión, los recursos de cómputo

pueden dañarse por causa de otros elementos que acompañan a los incendios, como el

humo, el calor y el agua. Estos peligros quizás perturben las operaciones de cómputo

normales y den lugar a prolongados periodos de espera y a costos exorbitantes, en

tanto se vuelvan a crear los programas de computadora y los archivos de datos. Las fallas de los sistemas computarizados son producidos por una pobre manufactura o por materiales peligrosos, o por la falta de experiencia y hasta por la incompatibilidad del

software. A fin de estar preparados para estos eventos deberá implantarse un plan.

________________________ 1 Esta división de amenazas no intencionales corresponde a los autores arriba citados.

NOTA: En el ámbito del derecho penal mexicano, al tratar el delito de fraude nos indica que el agente

infractor siempre tiene en su mente la astucia e inteligencia para cometer intencionalmente el delito de

fraude (genérico, específico o equiparado), “el fraude sólo se puede presentar en forma dolosa” el cual

siempre está orientado a obtener un beneficio individual a costa del engaño a su víctima. Opinión de

Sergio García Ramírez, (Prólogo, p. XXV), El delito de fraude (Reflexiones), Editorial Porrúa, México, 2005, autores López Betancourt y Porte Petit.


Gráfica 1

Diafonía

FUENTE: Amenazas de seguridad. (Gallegos y Wright, 1998, p.12, Warren, Gorham & Lamont. Citado

por los autores (Turban, McClean y Wetherbe, 2006: 787).

Base de datos • Acceso no autorizado • Copia • Robo

Base de Datos

Reglas de acceso

Hardware • Falta de los mecanismos

de protección • Contribución a la falta de

software

Terminales • Localizadas en un

entorno inseguro

Programación de aplicaciones • Se comportan de

modo contrario a la especificación

Programador de sistemas • Desviación de los mecanismos de

seguridad • Inhabilitación de los mecanismos

de seguridad • Instalación de un sistema inseguro

Operador • Duplicación de

informes confidenciales

• Inicio de un sistema inseguro

• Robo de un material confidencial

Terminal de usuarios • Identificación

fraudulenta • Fuga ilegal de

información autorizada

Procesador

Autorización • Especificación

Incorrecta de la Política de seguridad

Software de sistemas • Falta de los mecanismos

de protección • Fuga de información

Radiación

Entorno externo • Desastres naturales • Ataques mal intencionados • Acceso no autorizado al centro de

cómputo


Planeación de la recuperación ante desastres

Como se describió, los desastres tal vez ocurran en muchos lugares sin aviso. La mejor

defensa consiste en estar preparado. En consecuencia, un elemento importante en

cualquier sistema de seguridad es el plan de recuperación de desastres. La

destrucción de la totalidad (o de la mayor parte) de las instalaciones de cómputo puede

provocar un daño importante. De tal modo, para muchas organizaciones resulta difícil

obtener seguridad para sus computadoras y sistemas de información si no presentan un

plan satisfactorio de prevención y de recuperación ante desastres. La recuperación ante

desastres es la cadena de eventos que vinculan la planeación con la protección para la

recuperación. La siguiente es una lista de ideas principales:

• El propósito de un plan de recuperación es mantener la operación de los negocios

después de que ocurre el desastre. Tanto el departamento de sistemas de

información como la administración de línea deben involucrarse en la elaboración

del plan. Cada función en el negocio debe tener un plan válido de capacidad de

recuperación.

• El plan de recuperación forma parte de la protección de los activos. Toda organización debe asignar la responsabilidad a la dirección para identificar y

proteger los activos dentro de sus esferas de control funcional.

• La planeación debe enfocarse primero en la recuperación de una pérdida total de

todas las funciones.

• La prueba de funciones suele incluir algún tipo de análisis “qué pasa si” que muestra

el plan de recuperación está en marcha.

• El plan debe mantenerse en un lugar seguro. Deben proporcionarse copias a todos

los ejecutivos principales; y debe auditarse en una forma periódica.

• Todas las aplicaciones críticas serán identificadas y sus procedimientos de

recuperación indicadas en el plan (es compleja la planeación de recuperación de

desastres y lleva tiempo para terminarse.

• El plan debe escribirse de modo que resulte efectivo en caso de desastre, no sólo

con el fin de satisfacer a los auditores.

La planeación de desastres es un método orientado a evitar que éstos ocurran. La idea consiste en minimizar la oportunidad de desastres que pueden prevenirse (como


un incendio u otras amenazas provocadas por seres humanos). Por ejemplo, las

compañías utilizan un dispositivo llamado suministro de potencia ininterrumpible (SPI),

que proporciona potencia en caso de un interrupción del suministro eléctrico. Las medidas de respaldo en caso de un desastre mayor, a menudo es necesario mover una instalación de cómputo centralizado a otro lugar de respaldo. (Turban, McClean y

Wetherbe, 2006: 806807). Los riesgos en los sistemas se localizan en el hardware, el

software (aplicaciones y datos) y en los sistemas de comunicaciones.

2. Amenazas intencionales y los delitos por computadora:

§ Robo de datos y diversos abusos por computadora y delitos.

§ Uso inapropiado de datos (por ejemplo, manipulación de entradas).

§ Robo del tiempo de cómputo del mainframe.

§ Robo de equipo y/o programas.

§ Manipulación deliberada en el manejo, la alimentación, el procesamiento, la

transferencia o la programación de datos.

§ Huelgas de trabajadores, disturbios o sabotaje.

§ Daño doloso de los recursos de cómputo.

§ Destrucción por virus y ataques similares.

De acuerdo con el Computer Security Institute, el 64% de todas las organizaciones

sufrieron delitos por computadora en 1997 (Los Angeles Times, 5 de marzo de 1998, p.

D2). El número, la magnitud y la diversidad de los delitos de abusos por computadora

crece con mucha rapidez. Recientemente, se ha vuelto evidente el creciente número de

fraudes relacionados con Internet y con el comercio electrónico. Los tipos de delitos

por computadora y criminales en muchas formas, se asemejan a los delitos

convencionales. La computadora puede ser el blanco del crimen, también puede constituir el medio del ataque al crear un ambiente donde envuelve el delito; por ejemplo, se alimentan datos falsos en un sistema de cómputo para engañar a las

personas que examinan los estados financieros de una compañía –sin averiguación ni

aviso al equipo de auditores a veces se utiliza la computadora para planear un delito,

aunque éste no la incluye, por citar otro caso, un corredor de acciones robó 50 millones

de dólares convenciendo a sus clientes de que él contaba con un programa


computarizado con el que podría incrementar la rentabilidad de su inversión en un 60%

mensual. Los delitos los pueden efectuar extraños que penetran al sistema de cómputo (con frecuencia mediante líneas de comunicación) o por miembros internos a quienes se autoriza utilizar el sistema computarizado pero que hacen mal uso de ello. Hacker es

el término que a menudo se utiliza para describir a las personas extrañas que penetran

en un sistema de cómputo. Un cracker constituye un hacker malicioso que representa un serio problema a la corporación. Los criminales computarizados, ya sean miembros

internos o extraños, tienen un perfil distinto y los impulsan diversos motivos, (ver

Cuadro 2). En consecuencia, resulta difícil predecir quién se convertirá en un criminal

computarizado. Éstos utilizan métodos de ataque diversos frecuentemente innovadores.

Cuadro 2

EL CRIMINAL COMPUTARIZADO: PERFIL Y MOTIVACIÓN

EL PERFIL LA MOTIVACIÓN

Sexo: hombres blancos entre 19 y 30 años sin antecedentes criminales. (Las mujeres tienden a ser cómplices).

Económica: necesidad urgente de dinero (por ejemplo, debido a un estilo de derroche, al juego, a una enfermedad familiar o al abuso de drogas).

Ocupación: programadores de aplicaciones, usuarios de sistemas, personal de oficinas, estudiantes o ejecutivos.

Ideológica: engañar al sistema se considera como un juego agradable a que “el sistema engaña a todos”.

IQ: alto IQ, brillante, agradable y creativo. Egocéntrica: derrotar al sistema es divertido, desafiante y una aventura. El egocentrismo parece ser el motivo que más distingue a los criminales computarizados.

Aspecto: aparentemente seguro de sí mismo, impaciente y dinámico.

Psicológica: dominar incluso al patrón, a quién el empleado percibe frío, indiferente e impersonal.

Aptitud para el trabajo: aventurero, dispuesto a aceptar retos técnicos y altamente motivado.

Otras: el empleado se considera a sí mismo como un “prestatario” del software, por ejemplo, no como un ladrón.

FUENTE: basado en Bologna (1987). Citado por los autores (Turban, McClean y Wetherbe, 2006: 790).

2.1 MÉTODOS DE ATAQUE: Se recurre a dos planteamientos básicos en los ataques

deliberados sobre sistemas de cómputo: alteración de datos y técnicas de

programación.


La alteración de datos (“desordenamiento de datos”) es el planteamiento más común y

consecuencia recurren a él los empleados internos. Se refiere a alimentar datos falsos,

fabricados o fraudulentos dentro de la computadora o al cambio o eliminación de datos

existentes. Por ejemplo, para pagar la compra de medicinas de su esposa, un

programador de ahorros y préstamos, transfirió 5,000 dólares a su cuenta personal y

trató de cubrir la transferencia con transacciones telefónicas de débito y crédito. Los

criminales computarizados recurren también a las técnicas de programación para modificar un programa de computadora, ya sea directa o indirectamente. Para este

crimen, las capacidades de programación y el conocimiento de los sistemas objetivos

resultan esenciales. El Cuadro 3 muestra los esquemas de fraudes de programación

que se presentan bajo muchos nombres.

Cuadro 3 TEMAS DE PROGRAMACIÓN DE FRAUDE

Técnica de programación Definición

Virus Instrucciones secretas insertadas dentro de programas (o datos) que se ejecutan inocentemente durante tareas ordinarias. Las instrucciones secretas tal vez obstruyan o alteren los datos, además de diseminarse dentro o entre sistemas computarizados.

Gusanos Un programa que se duplica por sí solo y penetra a un sistema computarizado válido. Tal vez se difunda dentro de una red, penetrando en todas las computadoras conectadas.

Caballo de troya Un programa ilegal, contenido dentro de otro programa que “está latente” hasta que ocurre algún evento específico, desatando luego la activación del programa ilegal y la producción de daños.

Rebanada de salami Un programa diseñado para extraer pequeñas cantidades de dinero de varias transacciones grandes, de manera que la cantidad extraída no se manifieste con facilidad.

Super zapping Un método consistente en utilizar un programa “zap” de utilería que puede desviar controles para modificar programas o datos.

Puerta trasera Una técnica que permite entrar al código de un programa, posibilitando instrucciones adicionales.

FUENTE: basado en Bologna (1987). Citado por los autores (Turban, McClean y Wetherbe, 2006: 791).


Debido a su frecuencia, el tema de los virus informáticos merecen una mención

especial en este momento. VIRUS. El virus, el método de ataque que recibe más

publicidad, debe su nombre a la capacidad del programa para pegarse por sí solo a

otros programas de computadora, causando que se conviertan en sí mismos un virus.

Éstos pueden diseminarse con gran rapidez a través de un sistema de cómputo. En

virtud de la disponibilidad de software de dominio público, que se utiliza ampliamente en

las redes de comunicaciones, así como en Internet, los virus también se diseminan en

muchas organizaciones como se mostró en los incidentes mencionados en el Cuadro 1

anteriormente. Se sabe de algunos virus que se han dispersado por todo el mundo.

Algunos de los más notables son los “internacionales”, como el Michelangelo, el

Pakistani Brain y el Jerusalén. Cuado un virus se une a un programa de software

legítimo, éste de infecta sin que su propietario esté consciente del contagio (Gráfica 2,

Fuente: cortesía de Thumbsan). Por lo tanto, cuando se usa el software, el virus se

disemina provocando daños a ese programa y posiblemente a otros. De tal modo, el

software legítimo está actuando como un caballo de Troya. El diagrama siguiente presenta la clasificación del fraude en los sistemas computarizados. El Cuadro 4

muestra las técnicas más utilizadas por los defraudadores de computadoras.

Gráfica 2


2.2 El fraude en los sistemas computarizados Clasificación de los riesgos según su origen:

De la naturaleza a) Incendio. b) Inundación. c) Terremoto.

a) Daño de la computadora. b) La unidad daña el disco o la cinta. c) El disco o la cinta. d) El disco o la cinta no se pueden leer. e) Daño de la impresora. f) Daño del equipo de transcripción.

Fallas de hardware g) Daño en la transmisión. h) Daño de la información en C.D. i) Caída del sistema en cajeros automáticos. j) Fallas técnicas en la lectura de tarjetas débito. k) Dobles procedimientos en el registro de

operaciones.

a) Reporte Error de b) Transcripción

c) Transmisión

Fallas humanas

a) Programador Error del b) Operador

c) Cintotecario

a) Saqueos. b) Sabotajes con o sin violencia. c) Violación de la privacidad. d) Fraude. e) Colusión. f) Acceso indebido de información confidencial. g) Adquisición de información para la competencia. h) Modificación de registros.

Fallas humanas i) Instalación de virus para borrar datos. Intencionales j) Pánico económico mediante el uso de correo

electrónico. k) Ofrecimiento de servicios de Internet con fines mal intencionados. l) Manejo de páginas Web. m) Suplantación de firmas reconocidas. n) Manipulación de código de barras. o) Uso de mecanismos fraudulentos en cajeros

automáticos. Fuente: Estupiñán Gaitán, 2002: 281282.


Cuadro 4

TÉCNICAS UTILIZADAS POR LOS DEFRAUDADORES DE COMPUTADORA

Técnica utilizada Descripción

Manipulación de transacciones. Consiste en cambiar los datos antes o durante la entrada a la computadora por personal facultado.

Las bombas lógicas. Dar instrucciones fraudulentas en el software autorizado, al cumplir una condición específica.

Trampaspuerta. Deficiencias del sistema operacional original, los programadores del sistema dan instrucciones para operar fraudes en numerosas opciones.

Evasiva astuta. Técnica conocida como parches: comunicación con el lenguaje de la máquina para cambiar datos.

Recolección de basura. Obtención de información abandonada en papel, programas, datos, passwords y reportes.

Ir a cuestas para tener acceso no

autorizado.

Utilizar los recursos del sistema de dos maneras: accesos clandestino físico y electrónico ambos a cuestas de un miembro influyente.

Puertas levadizas. Utilizar datos sin autorización mediante rutinas de programas o dispositivos del hardware.

Técnicas de taladro. Llamar o buscar entrada al sistema con diferentes códigos hasta descubrir contraseñas y archivos.

Intercepción de líneas de comunicación. Establecer conexión secreta telefónica o telegráfica para interceptar mensajes.

Modalidades de fraude con tarjetas y

cajeros automáticos.

Clonación de tarjetas de crédito o débito y colocación de plaquetas a los cajeros automáticos.

FUENTE: (Estupiñán Gaitán, 2002: 283287).

2.3 Modalidades de fraude con tarjetas y cajeros automáticos: Tarjeta caliente,

tarjeta alterada, falsificación integral, comprobantes previamente elaborados,

falsificación de la banda magnética, fraudes con telemercadeo, uso indebido de la

tarjeta, suplantación de la razón social, tarjeta expedida con datos falsos, suplantación

del tarjetahabiente, tarjetas dobles y fuga de información general.

2.4 Las operaciones delictivas en ambientes de cómputo: Análisis de los listados

de consola, análisis de los listados producidos por las rutinas de contabilidad del

sistema, revisión de uso de programas de utilidad, fraude electrónico, pánico económico

en Internet, acceso indebido a bases de datos, modificación de archivos, virus para

borrar información, robo de CD y de copias de seguridad, e interferencia electrónica,

transferencias bancarias millonarias no autorizadas, y venta de listados de clientes para

beneficio personal.


2.5 Fraudes y control en las organizaciones virtuales. El avance tecnológico y la

tendencia moderna de las organizaciones ante la competencia, nos muestra que día a

día las empresas reducen su logística para ser más eficientes y mas livianas en sus

costos de operación; con la aparición masiva de Internet nace una nueva cultura en el

mundo, pasando de la cultura de la información y del conocimiento; es así como el

control físico de documentos y bienes ahora intangible; esto implica un auge en los

negocios pero también un auge en el delito ya que las transacciones serán electrónicas;

es aquí precisamente cuando los organismos de control deben orientar sus esfuerzos

para combatir el delito con modernas técnicas de análisis de información soportadas

especialmente por programas y tecnologías a la par con los avances actuales.

De acuerdo con el FBI, un robo promedio implica $3,000 dólares; un delito de cuello

blanco promedio corresponde a 23,000 dólares; pero un delito por computadora

promedio implica cerca de 600,000 dólares. Las siguientes son algunas de las leyes

federales en Estados Unidos relativos a los delitos computarizados:

• Counterfeit Access Device y Computer Fraud Act (aprobada en octubre de 1984).

• Computer Fraud y Abuse Act, (1986).

• Computer Abuse Amendment Act, de 1994 (prohíbe la transmisión de virus).

• Computer Security Act, de 1987.

• Electronic Communications Privacy Act, 1986.

• Electronic Founds Transfer Act, 1980.

Y, existe la ACFE (Association Certified of Fraud Examiners), agrupación americana

dedicada al entrenamiento de examinadores certificados contra el fraude.

3. Protección de los sistemas de información

3.1 Seguridad y función de los controles. El conocimiento de las principales

amenazas potenciales para los sistemas de información resulta importante, pero

entender las maneras de defenderse contra estas amenazas es igualmente decisivo.

Esta protección a estos sistemas no es una tarea simple o económica por las siguientes

razones:


• Existen cientos de amenazas potenciales y muchos individuos controlan los activos

de información.

• Los recursos de cómputo y las redes de computadora tal vez se ubiquen en muchos

lugares, pueden estar fuera de la organización y es difícil protegerlas.

• Muchos delitos por computadora no se detectan durante un largo periodo, por lo que

es difícil aprender de la experiencia.

• Los rápidos cambios tecnológicos hacen que algunos controles se vuelvan

obsoletos tan pronto como se ponen en práctica.

• El delincuente computarizado que se captura no recibe castigo, por lo que hay un

efecto disuasivo.

• La cantidad de conocimiento de cómputo necesaria para cometer delitos

computarizados es mínima. En realidad, uno puede convertirse en un hacker gratis, en Internet.

• Los costos para prevenir (disminuir) delitos pueden resultar muy altos. En

consecuencia, muchas organizaciones simplemente no pueden afrontar la

protección contra los posibles daños.

• La gente tiende a violar los procedimientos de seguridad debido a que éstos son

molestos. (El éxito de los controles internos es la apropiación/actitud del personal

respecto de su cumplimiento y no la norma establecida).

3.2 Estrategias de defensa. ¿Cómo proteger? La protección de la tecnología de

información se logra insertando controles –mecanismos de defensa ideados para prevenir riesgos accidentales, disuadir actos intencionales, detectar problemas lo más pronto posible, mejorar la recuperación de daños, y corregir problemas. Los controles pueden integrarse dentro del hardware y software durante la fase del desarrollo del

sistema se encuentra en operación o durante su mantenimiento. El punto importante es

que la defensa debe subrayar la prevención; lo anterior no resulta adecuado después del delito. Así como existen muchas amenazas, así igualmente existen diversos

mecanismos de defensa. Los controles se diseñan para proteger todos los

componentes de un sistema de información, específicamente los datos, el software, el

hardware y las redes. Las siguientes son las estrategias de defensa más importantes:


a) Controles para la prevención y disuasión. Son diseñados de una forma apropiada

que evitan la presentación de errores, disuadir a los criminales de que ataquen el

sistema, y mejor aún, negar el acceso a las personas no autorizadas, además, el

prevenir y disuadir son especialmente importantes donde el daño potencial es muy alto.

b) Detección. Tal vez no sea económico factible evitar todos los peligros para que

todas las medidas funcionen, en consecuencia, los sistemas no protegidos son

vulnerables a los ataques. Al igual que un incendio, cuanto más pronto se detecta, tanto

más sencillo resultará combatirlo y tanto menor será el daño. La detección se efectúa

utilizando software de diagnóstico especial.

c) Limitación. Esto se refiere a minimizar las pérdidas una vez que ha ocurrido el mal

funcionamiento. Los usuarios típicamente desean que sus sistemas vuelvan a operar lo

más rápido posible. Lo anterior es posible lograrse incluyendo un sistema tolerante a

fallas que permita la operación en un modo degradado hasta conseguir la recuperación

completa. Si no se cuenta con un sistema tolerante de fallas, debe ponerse en práctica

una rápida (y posiblemente costosa) recuperación.

Controles para la prevención y disuasión

Detección

Limitación

Recuperación

Corrección


d) Recuperación. Un plan de recuperación aclara cómo reparar un sistema de

información dañado lo más rápido posible. Sustituir componentes en vez de repararlos

es un camino para la pronta recuperación.

e) Corrección. Los sistemas dañados corregidos evitarán la recurrencia del problema.

3.3 Clasificación de controles. Controles generales (sistemas) y Controles de

aplicaciones. (Turban, McClean y Wetherbe, 2006: 794798).

CONTROLES GENERALES. Se establecen para proteger el sistema sin que importe la

aplicación específica, establecidos en las siguientes categorías:

Controles físicos

La seguridad física se refiere a la protección de las instalaciones y los recursos de

cómputo, esto incluye la protección de la propiedad física de las computadoras, los

centros de datos, el software, los manuales y las redes. La seguridad física constituye

la primera línea de defensa y suele ser la más fácil de construir. Proporciona protección

contra la mayor parte de los peligros naturales, así como ante los peligros humanos. La

seguridad física apropiada comprende los siguientes controles:

1. Diseño apropiado del centro de datos. Por ejemplo, el lugar deber ser no

combustible e impermeable.

2. Blindaje contra campos electromagnéticos.

3. Sistemas para prevenir, detectar y extinguir incendios, lo que incluye sistemas de

rociado, bombas de agua e instalaciones de drenaje adecuadas.

4. Las baterías de emergencia para cortes de suministro eléctrico y de respaldo, las

cuales deben mantenerse en condición operativa.

5. Diseño de sistemas de acondicionamiento de aire (mantenimiento y operación).

6. Alarmas detectoras de movimiento que indiquen la intromisión física de extraños.

Controles de acceso

Éste se refiere a la restricción del acceso a usuarios no autorizados a una parte del

sistema de computadora o al sistema completo. Para obtener el acceso, el usuario

primero debe ser autorizado.


Después, cuando el usuario intenta tener acceso, debe acreditarse. El acceso a un sistema de computadora consta básicamente de tres pasos: (1) acceso físico a una

terminal, (2) acceso al sistema y (3) acceso a comandos, transacciones, privilegios,

programas y datos específicos dentro del sistema. Existe software de control de acceso

comercial para las grandes mainframes, minicomputadoras, computadoras personales,

redes de área local y redes de comunicaciones de marcación telefónica.

Los procedimientos de acceso hacen corresponder a cada usuario válido con un

identificador de usuario único (IUU). Proporcionan también un método de acreditación

para verificar que los usuarios que solicitan acceso al sistema computarizado sean en

realidad quienes afirman ser. El reconocimiento del usuario puede lograrse cuando lo

siguiente identifica a cada usuario:

• Algo que sólo conoce el usuario, por ejemplo, una contraseña.

• Algo que sólo tiene el usuario, digamos, una tarjeta inteligente o una señal.

• Algo que sólo es del usuario, como una firma, la voz, la huella digital o la exploración

óptica retinal (ojo). Esto se implementa por medio de controles biométricos.

Control biométrico

Se define como un “método automatizado” para verificar la identidad de una persona

con base en sus características fisiológicas o conductuales”. Los elementos biométricos

más comunes son los siguientes:

Fotografía.

Huellas digitales.

Geometría de la mano.

Patrón de vasos sanguíneos en la retina del ojo de una persona.

Firma auténtica prealmacenada.

Dinámica del tecleo.

Otros métodos más, por ejemplo, como la termografía facial y la exploración óptica del iris.

En los últimos años, algunas empresas han incorporado controles de acceso físicos a

los que se llama biometría. Un patrón biométrico considera una característica única y

mensurable de rasgos de un ser humano para identificarlo. Se utilizan huellas digitales,

imágenes de la retina o el tono de voz como patrones biométricos. (Oz, 2001: 631).


Tratándose de una huella dactilar, el usuario coloca un dedo sobre un escáner o ante

una cámara digital. Se busca en una base de datos de huellas dactilares digitalizadas

de personas con acceso autorizado. El procedimiento es similar cuando se digitaliza la

imagen de la retina de una persona. En el caso de la voz, se pide al usuario que

pronuncie una palabra, o varias. La entonación y el acento se digitalizan y comparan

con una lista de muestras de voz digitalizadas.

Controles de seguridad de los datos

Esta parte tiene que ver con la protección de los datos contra la revelación accidental o

intencional por parte de personas no autorizadas o contra la modificación o destrucción

no autorizadas. Las funciones de seguridad se implementan mediante sistemas

operativos, programas de control de acceso de seguridad, productos de

comunicaciones de bases de datos/datos, procedimientos recomendados de

respaldo/recuperación, programas de aplicación y procedimientos de control externo.

Los controles de seguridad de datos se orientan hacia los siguientes aspectos:

confidencialidad de información, control de acceso, naturaleza crítica e integridad de los

datos (es la condición que existe siempre que no ocurre una destrucción accidental o

intencional, la alteración o la pérdida de datos. Se preservan los datos para su uso

establecido). Dos principios básicos se reflejan en la integridad de los datos: a) privilegios mínimos de disposición al usuario de la información que necesita contar en una tarea asignada, y b) exposición mínima respecto al usuario cuando tiene acceso a información sensible, entonces es su responsabilidad de protegerla asegurando que

únicamente las personas cuyas tareas la requieren obtengan conocimiento de esta

información mientras se procesa, almacena o encuentra en tránsito. No es económico

preparar protecciones contra toda amenaza posible. Por consiguiente, un programa de

seguridad de la tecnología de la información debe proporcionar un proceso para valorar

las amenazas y decidir ante cuáles prepararse y cuáles ignorar, reducir o eliminar. La

instalación de medidas de control se basa en un balance entre el costo de los controles

y la necesidad de reducir o eliminar las amenazas. Un análisis de este tipo corresponde

básicamente a un método de administración de riesgos, el cual ayuda a identificar las

amenazas y a elegir las medidas de seguridad de costo adecuado. El siguiente

esquema muestra el proceso de administración de riesgos:


Fuente: Elaborado por Turban, McClean y Wetherbe, 2006: 809.

Controles administrativos

Algunos ejemplos representativos de estos controles incluyen los siguientes:

• Elección, capacitación y supervisión apropiadas de los empleados en especial en

sistemas de contabilidad y de información. Fomentar de lealtad de la compañía.

Paso 1. Valoración de activos Determinar el valor y la importancia de activos tales como los datos, el

hardware, el software y las redes.

Paso 2. Vulnerabilidad de los activos Registrar las debilidades en el sistema de protección actual con respecto a

todas las amenazas potenciales

Paso 3. Análisis de pérdidas Evaluar la probabilidad de daño y especificar las pérdidas tangibles e

intangibles que pueden originarse

Paso 4. Análisis de protección Proporcionar una descripción de los controles disponibles que deben

considerarse, su probabilidad de defensa exitosa y sus costos

Paso 5. Análisis de costobeneficio Comparar los costos y los beneficios. Considerar la probabilidad de que ocurran daños y la protección exitosa de estos daños. Por último, decidir

cuáles controles instalar.


• Revocar de inmediato los privilegios de acceso de empleados destituidos, sumisos o

transferidos, requerir la modificación periódica de los controles de acceso (como las

contraseñas).

• Crear estándares de programación y documentación (para facilitar la auditoría y

utilizar los estándares como guías para los empleados).

• Insistir en las cadenas de seguridad y en los seguros contra uso inadecuado con los

empleados de mayor responsabilidad.

• Instituir la separación de tareas, esto es, dividir las labores de cómputo sensibles

entre tantos empleados como sea factible económicamente, con el propósito de

disminuir las posibilidades de daño intencional.

• Mantener auditorías aleatorias y periódicas del sistema.

Controles de comunicaciones (red)

Las medidas de control son restricciones impuestas a un usuario y que protegen los

sistemas de los riesgos señalados anteriormente, así como paliar el daño causado a

sistemas, aplicaciones y datos. Las medidas de control comunes para evitar el riesgo a

los sistemas se encuentran: a) programas robustos y control de entrada de datos, b)

copia de seguridad, c) controles de acceso, d) transacciones atómicas (con control de

entrada de datos), e) revisión de auditoría.

El programa de computadora es robusto (fuerte) si hace lo que debe hacer con eficacia,

pero también si puede soportar un uso inapropiado, como la entrada o el procesamiento

de datos incorrectos. Un programa menos robusto sólo permite que el usuario

introduzca los parámetros necesarios sin interactuar con el sistema. Un programa

robusto (fuerte) incluye códigos que producen de manera inmediata un mensaje claro si

un usuario comete un error o trata de eludir un proceso. (Oz, 2001: 629).

La protección de las redes se está volviendo sumamente importante a medida que

aumenta el uso de Internet, las Intranets y el comercio electrónico. Las más comunes

medidas de seguridad corresponden al control del acceso que incluyen acreditación y contraseñas, encriptado, probadores de cable y firewalls y otros controles generales. Control de acceso. Esta estrategia de protección del acceso requiere a los usuarios un NIP y además que la contraseña sea única y que cambie con frecuencia.


Encriptado. Consiste en codificar un texto digitalizado ordinario en otro texto o en números desordenados e ilegibles que deben codificarse al recibirlos. Probadores de cable. Sirven para la solución de problemas de redes del área local integrada con un analizador inteligente. Permite inspeccionar los contenidos de datos. Firewalls. Es un sistema, o grupo de sistemas, que refuerzan una política de control de acceso entre dos redes. Se usa como una barrera entre la Intranet, Internet y redes. Otros generales. Entre los más importantes están los controles de programación, malos entendidos o interpretaciones y controles de desarrollo del sistema. CONTROLES DE APLICACIONES. Los controles generales se orientan a la protección

de las instalaciones de cómputo y a proporcionar seguridad al hardware, el software, lo

datos y las redes, no obstante estos controles no protegen el contenido de cada aplicación específica. Por tanto, se incorporan controles dentro de las aplicaciones, en

el software y suelen considerarse como reglas de validación:

Controles de entrada. Tienen la finalidad de evitar la alteración o la pérdida de datos.

Son importantes porque evitan la situación “entra basura, sale basura”, por ejemplo,

controles de integridad, de formato, de intervalo y de consistencia. Controles de procesamiento. Aseguran que los datos sean completos, válidos y

exactos al procesarlos, y que los programas se ejecuten apropiadamente. Sólo los

usuarios autorizados tienen acceso a los programas o instalaciones y vigilan el uso

adecuado de las computadoras por los individuos.

Controles de salida. Aseguran que los resultados del procesamiento de cómputo sean

exactos, válidos, completos y consistentes. El control asegura que las salidas sólo se

envíen al personal autorizado.

4. Auditoria de sistemas de información

El establecer controles pretende un correcto funcionamiento de los sistemas, los

controles se instalan en el sistema original; el departamento de sistemas, los usuarios

finales u otros (por ejemplo, vendedores) y se agregan una vez que el sistema se

encuentre en operación. Instalar controles es necesario, pero no es suficiente. Se

requiere responder a las siguientes preguntas: ¿Se presenta alguna violación de la

seguridad? Si es así, ¿qué acciones se requieren para evitar su ocurrencia? Estas


preguntas necesitan responderlas los observadores independientes e imparciales, los

cuales efectúan la tarea de auditar el sistema de información. Una auditoría constituye una parte importante de cualquier sistema de control. En el

escenario organizacional suele conocérsele como un examen y revisión regulares de los registros y de los procedimientos financieros y contables. Efectúan la auditoría

profesionales especialmente capacitados, sean empleados internos o consultores

externos. En el entorno de los sistemas de información, la auditoría se considera como

una capa adicional de controles o salvaguardas.

La informática está inmersa en la gestión integral de la organización. A finales del siglo

XX, los sistemas de TI (tecnologías de la información) se constituyeron como las

herramientas más poderosas para cualquier organización, puesto que apoyan la toma

de decisiones, generando un alto grado de dependencia, así como una elevada

inversión en ellas. Debido a la importancia que tienen en el funcionamiento de una

organización, existe la auditoría informática. (Fernández, 2005:1) La auditoría informática. Es un proceso evolutivo “que mediante técnicas y procedimientos aplicados en una organización por personal independiente a la

operación de la misma, evalúa la función de tecnología de información y su aportación

al cumplimiento de los objetivos institucionales; emite una opinión al respecto y efectúa

recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos”

Tipos de auditores y auditorías. Un auditor interno casi siempre lo constituye un empleado corporativo y no es miembro del departamento de sistemas de información.

Un auditor externo es ajeno a la corporación. Este tipo de auditor revisa los resultados de la auditoría interna y las entradas, el procesamiento y las salidas de datos.

La auditoría externa de sistemas de información o de procesamiento de datos electrónicos constituye con frecuencia una parte de la auditoría externa completa que

efectúa una firma contable pública certificada, un aspecto esencial de esta auditoría es

buscar los peligros y controles potenciales en los sistemas, centra la atención en temas

como nuevos sistemas, desarrollo, operaciones y mantenimiento, integridad de datos,

aplicación de software, seguridad y privacía, planeación y recuperación ante desastres,

adquisición, presupuestos y gastos, costos indirectos, administración de vendedores,

documentación, seguros y fianzas, capacitación, control de costos y productividad. La


SAS número 55 es una guía emitida por el American Institute of Certified Public

Accountans. Los auditores intentan responder preguntas como las siguientes:

• ¿Hay suficientes controles en los sistemas? ¿Qué controles son necesarios?

• ¿Cuáles áreas no están cubiertas por los controles?

• ¿Los controles se implantaron en forma adecuada?

• ¿Los controles son efectivos; estos es, verifican la salida del sistema?

• ¿Existe clara separación de tareas? ¿Existen procedimientos para garantizar el

cumplimiento de los controles, acciones de información y corrección?

Se utilizan dos tipos de auditorías para responder a estas preguntas. La auditoría operacional para verificar el funcionamiento de los sistemas y la auditoría de acatamiento para determinar si los controles se han implantado en forma apropiada y

son adecuados.

¿Cómo se ejecuta la auditoría? Los procedimientos de auditoría de la tecnología de la

información se clasifican en tres categorías:

1. La auditoría alrededor de la computadora corresponde verificar el procesamiento

revisando las salidas conocidas utilizando entradas específicas.

2. En la auditoría a través de la computadora se verifican las entradas, las salidas y el

procesamiento. Este método resulta complejo apoyándose en herramientas especiales.

Algunos métodos del auditor son la revisión lógica del programa y los datos de prueba.

3. La auditoría con la computadora se refiere a emplear una combinación de datos de

los clientes, software del auditor y hardware del cliente y el auditor. Permite que el

auditor efectúe pruebas tareas como la simulación de la lógica del programa de

nóminas utilizando datos reales. 2

________________________ 2 En los despachos de auditores de México, estas herramientas están limitadas con frecuencia debido a la capacidad financiera del cliente. Existe limitación cuando el cliente pone obstáculos de acceso al personal que audita a los sistemas de información, por ejemplo, si el auditor solicita sólo una llave para consultar los sistemas de nóminas, contable o de producción de su cliente; el precio de algunas empresas consultoras de software oscila entre $50,000.00 a $90,000.00; ésta situación aumenta el costo de la auditoría para la entidad auditada, sin considerar –en muchos casos el alto costo pagado por la construcción del sistema. Estas herramientas de audtoría son avanzadas pero es necesario tomar en cuenta sus alcances, los objetivos de control administrativo, así como las ventajas que el auditor ofrece al examinar los sistemas de información. Por otra parte, las políticas de operación de la firma de auditores profesionales deberían incluir el realizar auditorias externas de cifras contablesfinancieras no con las técnicas tradicionales de auditoría, también abarcando la auditoria a la tecnología de información, obteniendo con ello mayor eficiencia en su trabajo.


Las herramientas típicas son las listas de verificación, fórmulas y diagramas. Éstas

pueden ejecutarse en forma manual o de modo computarizado mediante la disposición

de programas de cómputo, tales como programas de pruebas, síntesis, muestreo y

correspondencia. El Generalizad Audit Software (GAS) es un conjunto de programas

diseñado para apoyar la auditoría. También es posible recurrir a sistemas expertos y a

cómputo neuronal para facilitar la auditoría de la tecnología de información. Los

auditores deberían emplear varias herramientas para incrementar su eficacia y

eficiencia.

5. Control y seguridad en el siglo XXI

En el tercer milenio, el control y la seguridad de las computadoras recibirá mayor

atención. Se observan varias tendencias importantes entre las cuales se incluyen: Aumentar la confiabilidad de los sistemas. El objetivo en este caso es recurrir a la

tolerancia a fallas para mantener trabajando los sistemas de información, incluso si

fallan algunas partes. Sistemas inteligentes para la detección temprana. Detectar la intrusión en sus inicios es de suma importancia, en especial para la información

confidencial y los datos financieros. Los sistemas expertos y las redes neuronales se

utilizan a tal propósito. Sistemas inteligentes en la auditoría. Útil para mejorar la tarea de auditoría en los sistemas de información. Por ejemplo, los sistemas expertos evalúan

controles y analizan sistemas computarizados básicos, tanto que las redes neuronales

pueden emplearse para detectar fraudes. Inteligencia artificial en biomérica. Los sistemas expertos, el cómputo neuronal, el reconocimiento de voz y la lógica difusa se

emplean para mejorar las funciones de los sistemas biométricos. Sistemas expertos para diagnósticos, pronósticos y planeación ante desastres. El programa se utiliza para evaluar el entorno corporativo con respecto a la seguridad, los procedimientos, fuente

del problema así como los factores de riesgo. Tarjetas inteligentes. La tecnología de tarjeta inteligente se usa para proteger las computadoras personales en redes de área

local. Por medio de huellas digitales, la tarjeta inteligente del usuario se acredita por

medio de un sistema que usar firmas calculadas con una llave secreta y el algoritmo de

encriptado. Las tarjetas inteligentes, que contienen microchips incorporados, generan

contraseñas únicas (utilizadas sólo una vez) que confirman la identidad de una persona.


Reflexiones finales

a. Internet, sistemas de información, computadoras portátiles y de automóvil, de

escritorio, agendas electrónicas, teléfonos celulares y las tecnologías inalámbricas han

hecho que el acceso a datos e información sea más fácil. Por ejemplo, en México más

del 14% de los equipos de cómputo que usan Internet están infectados por programas

malignos bot, según la empresa en consultoría Lucent Technologies; la empresa 3Com se refiere a los usuarios con conexiones a Internet de banda ancha, así como las redes

corporativas, como los blancos de ataques a los servidores de computadoras.

b. Los datos, el software, el hardware y las redes están amenazados por las fuerzas de

la naturaleza o intencionalmente. A los criminales computarizados los impulsan factores

económicos, ideológicos, egocéntricos o psicológicos. Un delito grave en nuestro país es la clonación de tarjetas de crédito y de débito y otros instrumentos electrónicos de

pago; los fraudes a septiembre de 2006 por esta modalidad representaron entre 2,500 y

3,000 millones de pesos para las tiendas departamentales y de autoservicio.

c. El objetivo de los hackers ahora es vaciar las cuentas bancarias o y robar la

identidad de los usuarios de la Red, ejecutando el delito en portales electrónicos

ilegales. El Ministerio Público del Poder Judicial recibe denuncias de usuarios quienes

cometieron errores como accesar a páginas falsas de los bancos, donde son

descubiertos los números secretos confidenciales y números de cuentas bancarias. El

Buró de Crédito de México ha notado el descontrol de la información para expedir

plásticos por parte de las casas comerciales y de los bancos: el robo de identidad es un

fraude financiero nuevo destinado a cometer fraudes a nombre de terceros.

d. Otro ejemplo, el uso de la telefonía celular, para Patricia Ramírez, vocera de Telcel,

los datos podrían volverse realidad fácilmente. “La tendencia es a la alza. En México los

celulares se van incrementando año con año, y debido a la necesidad de movilidad y de

recibir mails en los teléfonos, empresas hacen convenios con buscadores de Internet

para cargar los aparatos con el servicio de correo electrónico”. El estudio alerta que

esto traerá mayores amenazas para la información de los usuarios de tecnología, pues

desde hace un par de años los ataques dirigidos hacia los móviles son más notables.

e. En diciembre de 2005 la llegada de un huracán a las playas de Cancún, Quintana

Roo, destruyó las edificaciones de hoteles así como los equipos de cómputo por la


fuerza del agua y del viento, los administradores mantenían nulas medidas de

protección a los sistemas de información y de comunicación.

f. La seguridad en cómputo tiene aspectos múltiples de análisis desde el uso de

computadoras, las comunicaciones y las redes del sistema; vigilando los riesgos físicos

en el hardware y los riesgos de seguridad en el software.

g. Conocer el valor de la información necesaria para hacer una inversión correcta, por

ejemplo, a los empresarios del sector de gasolina, la Secretaría de Hacienda y Crédito

Público (SHCP) conoce la incapacidad económica y técnica que dificulta cumplir con la

disposición oficial de sustituir las máquinas despachadoras actuales por nuevas

máquinas electrónicas. En septiembre de 2004, la SHCP estableció como obligatoria la

instalación –antes del 1 de diciembre de ese año de sistemas de control de volumen en

centros de abasto de gasolina, diesel, gas natural y gas licuado de petróleo (LP) para

motores de combustión automotriz, a fin de contrarrestar el mercado ilícito de

combustibles. Sin embargo, concedió una prórroga debido a que el costo de cada

equipo oscila entre 10,000 y 12,000 dólares y no todos los expendedores cuentan con

recursos suficientes para realizar la inversión, además, la SHCP no estudió la

factibilidad de la norma técnica número 005 ni consideró que los proveedores no

ofrecían al 100% eficiencia en los sistemas. Los dispensarios de gasolina siguen igual. h. El instruir al personal que desinfecte los archivos antes de cargarlos o después de

recuperarlos; realizar respaldos frecuentes, ampliar respaldo para restaurar los datos,

en seguimiento de auditoría, ejecutar a diario la revisión de virus, y proteger todos los

programas y documentos recuperados de la red antes de usarlos; como medidas

preventivas. Las organizaciones procurarán tener antivirus original instalado y

actualizado, programas antispyware, antispam y firewall, que el software sea legal para poder actualizarlo desde Internet, evitar descargas de juegos, música o programas

“gratuitos” lo cual ofrece menos riesgos de ser atacado por algún bot. i. La seguridad de la información no es una materia específicamente tecnológica, es de

personas y, por tanto, es un problema organizacional de amplio espectro. Cualquier

esfuerzo encaminado a obtener una administración de la seguridad de la información

comienza con el fuerte compromiso de la dirección.


Bibliografía de consulta

Estupiñan Gaitán Rodrigo, Control Interno y Fraudes, con base en los ciclos transaccionales, Ecoe Ediciones, 1a edición, Bogotá, Colombia, marzo 2002.

Laudon Kenneth C. Laudon, Laudon Jane P., Management Information Systems, New Approches to Organization and Technology, Prentice Hall Hispanoamericana, S.A., 5a edición en ingles, 1998.

Lopez Betancourt Eduardo y Luis O. Porte Petit Moreno, El Delito de Fraude (Reflexiones), Sexta edición, Editorial Porrúa, México, 2005.

Oz Effy, Administración de Sistemas de Información, Thomson Editores, S.A. de C.V., (Thomson Learning), México, 2ª edición, 2001.

Shim Jae, Respuestas Rápidas para Sistemas de Información, Prentice Hall Hispanoamericana, S.A., México, 1a edición, 1999.

Turban Efraim, Mclean Ephraim y Wetherbe James, Tecnologías de Información para la Administración, Compañía Editorial Continental (CECSA), 2ª edición en inglés, 1ª edición en español y 1ª reimpresión en México, 2006.

Thompson L. Ronald y Cats Baril William, Information Technology and Management, Ed. Mc GrawHill Interamericana, S.A., U.S.A., agosto de 2002.

Hemerografía

Revista: Contaduría Pública, I.M.C.P., A.C., julio de 2005, año 34, No. 395, México, páginas 67, 1420, 3334 y 4250. Revista: Veritas, C.C.P.M., A.C., octubre de 2002, año XLVII, No. 1574, México, páginas 3039.

Páginas electrónicas www.enterate.unam.mx, fecha de consulta: 20 de diciembre de 2006, artículos: Importancia de la auditoría informática en las organizaciones, Nubia Fernández Grajales, (octubre de 2005). Administración de la seguridad en ITIL, Betzabé Falfán Jiménez, (abril de 2006). Cómputo forense, tras las huellas del infractor, Gustavo A. Gutiérrez Ramírez, (octubre de 2004). Las nuevas tendencias en seguridad informática, Imelda A. Gutiérrez de la Torre, (junio de 2004). Delitos cibernéticos, Gustavo A. Gutiérrez Ramírez, (octubre 2003).

www.amiti.org.mx, fecha de consulta 12 de diciembre de 2006, Asociación Mexicana de la Industria de Tecnologías de Información, A.C.

www.acfe.org., fecha de consulta 5 de octubre de 2004.

http://www.acfe.org/

xi congreso internacional de la academia de …acacia.org.mx/busqueda/pdf/p02t10.pdf · software,...

Documents