El fraude en los sistemas de información: el nuevo desafío

Hoy en día la tecnología ha avanzado y ya es parte de la vida diaria en todas las organizaciones, en este sentido han
surgido acciones ilícitas que conocemos como delitos informáticos, los cuales con el desarrollo de la programación e
internet se han vuelto más frecuentes y sofisticados. Entre las actividades delictivas realizadas por medios
informáticos podemos mencionar:

1. Técnicas de sustracción: consiste en sustraer pequeñas cantidades de un gran número de registros,

mediante la activación de rutinas incluidas en los programas aplicativos corrientes.
2. Técnicas denominadas caballo de yroya: consisten en insertar instrucciones de programación en los
programas aplicativos de manera que, además de las funciones propias del programa, también
ejecuten funciones no autorizadas por la administración.
3. Bombas lógicas: consiste en diseñar instrucciones fraudulentas en software autorizado, para ser
activadas cuando se cumpla una condición o estado específico.
4. Manipulación de datos: es un método relativamente fácil para lograr el acceso no autorizado a los
centros de procesamiento de datos, así estén adecuadamente controlados.
5. Ingeniería social: consiste en planear la forma de abordar a quienes puedan proporcionar
información valiosa o facilitar de alguna forma la comisión de hechos ilícitos.
6. Abrepuertas: son deficiencias del sistema operacional desde las etapas del diseño original.
7. Zaping: permite adicionar, modificar y/o eliminar registros de archivos, datos de registros o agregar
caracteres dentro de un archivo maestro, sin dejar rastro y sin modificar ni correr los programas
normalmente usados para mantener los archivos.
8. Evasiva: se trata de una forma de comunicarse que los programadores de sistemas se inventaron
para entrar en la computadora, cambiar las cosas, hacer que algo suceda y hasta recambiarlas para
que vuelvan a su forma original sin dejar rastros.
9. Recolección: es una técnica utilizada para obtener información abandonada dentro o alrededor del
sistema de computación, después de haber realizado una operación cualquiera en el sistema.
10. Acceso a cuenta para tener acceso no autorizado: es una técnica para lograr el acceso no
autorizado a los recursos del sistema, entrando detrás de alguien influyente o mediante
suplantación de identidad.
11. Puertas levadizas: consiste en la utilización de datos sin la debida autorización, mediante rutinas
involucradas en los programas o en los dispositivos de hardware.
12. Técnica del taladro: consiste en utilizar una computadora para llamar con diferentes códigos hasta
cuando uno de ellos resulte aceptado y permita el acceso a los archivos deseados.
13. Intercepción de líneas de comunicación: consiste en establecer una conexión secreta para
interceptar mensajes.
La auditoría de sistemas debe actuar en cuatro líneas maestras de actuación:
1. Auditoría durante el desenvolvimiento de sistemas: engloba la fase de construcción de sistemas de
información.
2. Auditoría de sistemas en producción: sistemas ya implantados y en funcionamiento.
3. Auditoría de ambiente de tecnología de información: engloba las estructuras orgánicas, contratos
de hardware y software, normas técnicas y operacionales, costos, nivel de utilización de los
equipamientos, planos de seguridad y contingencia.
4. Auditoría de eventos específicos: engloba el análisis de causa, de consecuencia y de la acción
correctiva posible, de eventos localizados y que no se encuentran bajo auditoría, detectados por
otros órganos y llevados a su conocimiento.
Para prevenir estos tipos de fraude se hace necesario una actuación eficiente y eficaz de la auditoría interna y externa
en las empresas; estableciendo normas preventivas y puntos de control y verificando la consistencia y la periodicidad
de la realización de estos puntos de control.
Los profesionales deben contar además con conocimiento del negocio de la empresa y conocimiento en técnicas de
auditoría con un buen desenvolvimiento en sistemas de información, que deberá ser acompañado con profesionales
que dominen la tecnología de la información.