Auditoria de Sistemas Computacionales

INGENIERÍA
RIESGOS Y FRAUDES INFORMÁTICOS, COMO PREVENIRLOS

Ing. Beatriz Chavez

 OBJETIVO
• Definir en qué consisten los riesgos informáticos y
como los hackers aprovechan las debilidades de los
sistemas informáticos para efectuar los fraudes.
 Amenaza
Una(s) persona(s) o cosas como posible fuente de peligro o catástrofe
• Ejemplo
Inundación
Incendio
Robo de datos
Sabotaje
Falta de procedimientos de emergencia
Divulgación de datos
Implicaciones con la ley
Aplicaciones mal diseñadas
Gastos incontrolados
 VULNERABILIDAD
La situación creada, por la falta de uno o varios controles, con la
amenaza pudiera acaecer y así afectar al entorno informático.
• Ejemplo
Falta de control de acceso lógico
Falta de control de versiones
Inexistencia de un control de soportes magnéticos,
Falta de separación de entornos en el sistema
Falta de cifrado en las telecomunicaciones.
 RIESGOS

• QUE SON LOS RIESGOS

INFORMATICOS

Se entiende como riesgo informatico

un estado de cualquier sistema que
nos indica que ese sistema esta libre
de peligro, daño o riesgo.
 RIESGOS

Un Sistema se puede definer como

seguro debe tener:
• Integridad
• Confiabilidad
• Disponibilidad
• Irrefutabilidad
 RIESGOS

• Integridad
La información solo puede ser modificada por quien
está autorizado.

• Confidencialidad
La información solo debe ser legible para los
autorizados
 RIESGOS

• Disponibilidad
Debe ser disponible cuando se necesita

• Irrefutabilidad
(no-rechazo o no Repudio) que no se
pueda negar la auditoria. Dependiendo de
las fuentes de amenaza, la seguridad
puede dividirse en seguridad lógica y
seguridad física
 TIPOS DE RIESGO

RIESGOS RELACIONADOS CON LA INFORMATICA

Áreas en que habitualmente ha incursionado la seguridad
en los centros de cómputos han sido:
• Seguridad física.
• Control de accesos.
• Protección de los datos.
• Seguridad en las redes.
 TIPOS DE RIESGO

RIESGOS DE INTEGRIDAD:
• Este tipo abarca todos los riesgos asociados con la autorización, completitud
y exactitud de la entrada, procesamiento y reportes de las aplicaciones.
• Estos riesgos se manifiestan en los siguientes componentes de un sistema:

• Interface del usuario:

• Procesamiento
• Interface
 TIPOS DE RIESGO
RIESGOS DE INTEGRIDAD:
• Interface del usuario:
Este riesgo se relacionan con las restricciones, sobre las individualidades de una
organización y su autorización de ejecutar funciones negocio/sistema.

• Procesamiento
Este riesgo se relacionan con el adecuado balance de los controles detectivos y
preventivos que aseguran que el procesamiento de la información ha sido
completado.

• Interface
Este riesgo se relacionan con controles preventivos y detectivos que aseguran que la
información ha sido procesada y transmitida adecuadamente por las aplicaciones.
 TIPOS DE RIESGO

• RIESGOS DE RELACION:
Este riesgo se da por el uso oportuno de la información
creada por una aplicación.
Estos riesgos se relacionan directamente a la información de
toma de decisiones Información y datos correctos de
una persona/proceso/sistema correcto en el tiempo preciso
permiten tomar decisiones correctas.
 TIPOS DE RIESGO

• RIESGOS DE UTILIDAD:
Estos riesgos se enfocan en tres diferentes niveles de riesgo:
1. Los riesgos pueden ser enfrentados por el direccionamiento
de sistemas antes de que los problemas ocurran.
2. Técnicas de recuperación/restauración usadas para minimizar
la ruptura de los sistemas.
3. Backups y planes de contingencia controlan desastres en el
procesamiento de la información.
 TIPOS DE RIESGO

RIESGOS EN LA INFRAESTRUCTURA:
• Estos riesgos se refieren a que en las organizaciones no existe
una estructura información tecnológica efectiva (hardware,
software, redes, personas y procesos) para soportar
adecuadamente las necesidades futuras y presentes de los
negocios con un costo eficiente.
• Estos riesgos están asociados con los procesos de la
información tecnológica que definen, desarrollan, mantienen
y operan un entorno de procesamiento de información y las
aplicaciones asociadas (servicio al cliente, pago de cuentas,
etc.).
INFORMATICO
 Fraude

•Puede ser definido como engaño, acción

contraria a la verdad o a la rectitud
 FRAUDE INFORMATICO

•Toda acción culpable realizada

por un ser humano que cause
un perjuicio a personas sin que
necesariamente se beneficie el
autor.
 TIPOS DE DELITOS O FRAUDES INFORMATICOS

1.Sabotaje Informático
2.Fraude a través de Computadoras
3. Estafas electrónicas
4. Pesca u olfateo de contraseñas
5. Juegos de Azar
6. Lavado de dinero
7. Copia ilegal de software
8. Espionaje Informático
9. Infracción del copyright en bases de datos
10. Uso ilegítimo de Sistemas Informáticos ajenos.
11. Accesos no autorizados
12. Interceptación de E-mail
13. Pornografía Infantil
14. Falsificación Informática
 TIPOS DE DELITOS O FRAUDES INFORMATICOS

1.Sabotaje Informático
Se clasifican en
Conductas dirigidas a causar daños físicos
Cuando la persona que comete el delito causa daños físicos al hardware del equipo
objeto del delito. por ejemplo:

• Uso de instrumentos para golpear, romper o quebrar un equipo de cómputo, ya sea el

daño completo o parcial.
• Uso de líquidos como café, agua o cualquier líquido que se vierta sobre el equipo
• Provocar apagones o cortos en la energía eléctrica con intención de causar daños en el
equipo.
• Utilizar bombas explosivas o agentes químicos que dañen el equipo de cómputo.
 TIPOS DE DELITOS O FRAUDES INFORMATICOS

1. Sabotaje Informático
Se clasifican en
Conductas dirigidas a causar daños lógicos
Esto comprende los daños causados a la información y todos los medios lógicos de los
cuales se vale un Sistema de Cómputo para funcionar adecuadamente. Por ejemplo,
• Dañar la información contenida en unidades de almacenamiento permanente, ya sea
alterando, cambiando o eliminando archivos.
• Mover configuraciones del equipo de manera que dañe la integridad del mismo.
• Atentar contra la integridad de los datos pertenecientes al dueño del equipo de
cómputo.
• Ocasionar daños en la parte lógica de un sistema de cómputo.
• Medios Utilizados para Realizar Daños Lógicos (Virus, gusanos)
 TIPOS DE DELITOS O FRAUDES INFORMATICOS

2. Fraude a través de Computadoras

Cuando la computadora es el medio para realizar y maquinar fraudes por una persona, se considera un delito.

a. Manipulación de los datos de entrada

Este tipo de fraude informático conocido también como sustracción de datos, Este delito no requiere de
conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales
de procesamiento de datos .

b.Manipulación de Programas
Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos
programas o nuevas rutinas

c. Manipulación de los datos de salida

Se efectúa fijando un objetivo al funcionamiento del sistema informático. Ejemplo fraude de cajeros automáticos
falsificando la instrucciones para la computadora.
 TIPOS DE DELITOS O FRAUDES INFORMATICOS

3. Estafas electrónicas
El hacer compras en línea mediante el uso de Internet o alguna red de
servicio, y no cumplir con lo establecido en el acuerdo de compra en
entregar el producto de forma completa o parcial se considera fraude, lo
que es muy común al hacer compras por Internet donde se requiere pagar
a la cuenta de alguna persona antes de recibir el pedido.

Las personas que se dedican a este tipo de estafas, consiguen clientes,

gente que se interese en comprarles el producto que venden y cuando esas
personas se deciden por hacer la compra y pagan a la cuenta que se les dio,
ya no se entrega nada pues lograron engañar a todas esas personas.
 TIPOS DE DELITOS O FRAUDES INFORMATICOS

4. Pesca u olfateo de contraseñas

Hacer uso de programas o métodos que puedan
descifrar claves o que puedan averiguar o buscarlas.
Ya sean claves personales de una cuenta de correo
electrónico, contraseña para entrar al sistema,
claves de acceso a algún sitio, claves de productos,
etc.
 TIPOS DE DELITOS O FRAUDES INFORMATICOS

• 5. Juegos de Azar
Los juegos de azar son aquellos juegos de casino o que hacen uso del factor "suerte“
Para obtener ganancias a través de la red, donde se hacen apuestas o inversiones de
dinero.

• 6. Lavado de dinero
Poner a funcionar el dinero producto del narcotráfico, o producto de estafas, robos,
fraudes o cualquier actividad ilegal.
Lo hacer por medio de casinos electrónicos en los cuales se esté lavando el dinero, o
sorteos, o comercio como medio para el lavado de dinero.
 TIPOS DE DELITOS O FRAUDES INFORMATICOS

7. Copia ilegal de software

Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos.
Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido
a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico
de esas reproducciones no autorizadas a través de las redes de telecomunicaciones
modernas.

8. Espionaje Informático
El acceso se efectúa a menudo desde un lugar exterior, situado en la red de
telecomunicaciones, recurriendo a uno de los diversos medios .

A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto
suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear
contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.
 TIPOS DE DELITOS O FRAUDES INFORMATICOS

9. Infracción del copyright en bases de datos

Es la infracción de los derechos reservados del autor, ya que todo producto
de marca tiene sus derechos y el infringir y violar la información de las
bases de datos, ya sea ver, copiar, borrar, alterar es también un delito.

10. Uso ilegítimo de Sistemas Informáticos ajenos

El usar un Sistema Informático de manera prohibida o incorrecta fuera del
propósito para el que fueron creados, o para obtener ganancias a su autor
o solo por cometer actos ilegítimos en contra de alguien o algún Sistema.
 TIPOS DE DELITOS O FRAUDES INFORMATICOS

11. Accesos no autorizados

El acceder a información, sitios o secciones que no están autorizadas a usuarios
comunes sino solo a aquellos que tienen autorización. Acceso indebido.
El que sin la debida autorización o excediendo la que hubiere obtenido, acceda,
intercepte, interfiera o use un sistema que utilice tecnologías de información, será
penado

12. Interceptación de E-mail

Al enviar mensajes y correo electrónico a través de la Red, e interceptar esos mensajes y
desviarlos o eliminarlos, es un delito. También esto podría entrar con los delitos de
espionaje y podrían acumularse por lo que la sentencia sería mayor.
 TIPOS DE DELITOS O FRAUDES INFORMATICOS

13. Pornografía Infantil

Exhibición pornográfica de niños o adolescentes. El que por cualquier medio que involucre el
uso de tecnologías de información, utilice a la persona o imagen de un niño, niña o
adolescente con fines exhibicionistas o pornográficos, será penado con prisión

14. Falsificación Informática Como objeto.

Cuando se alteran datos de los documentos almacenados en forma computarizada.
Como instrumento.
Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de
uso comercial.
Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos
láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas.
 PREVENCION CONTRA ATAQUES INFORMATICOS

LOGICAS:
• Actualice regularmente su sistema operativo y el software instalado en su
equipo, poniendo especial atención a las actualizaciones de su navegador
web.
• Instale un Antivirus y actualícelo con frecuencia.
• Instale un Firewall o Cortafuegos con el fin de restringir accesos no
autorizados de Internet.
• Es recomendable tener instalado en su equipo algún tipo de software anti-
spyware, para evitar que se introduzcan en su equipo programas espías
destinados a recopilar información confidencial sobre el usuario.
 PREVENCION CONTRA ATAQUES INFORMATICOS

FISICAS
• No deje las estaciones de trabajo sin vigilancia durante largos periodos de tiempo.
• Guarde las copias de seguridad en una zona segura y limite el acceso a dicha zona
• La forma final de seguridad contra la intervención humana es la de dificultar que una persona no autorizada
pueda acceder o modificar los datos contenidos en un sistema de computo. Esto se puede lograr a través del uso
de contraseñas o ubicando la tecnología dentro de sitios seguros bajo llave
• Colocar los cables de las redes dentro de las paredes o bajo suelos y techos para que no se pueda acceder a ellos
y dañarlos.
• La vigilancia es otro mecanismo de seguridad con lo que se pueden utilizar guardias de seguridad para controlar
el acceso a un recinto.
• Acceso controlado mediante claves únicas, lector de huella digital y/o de cornea, cámaras de vigilancia, dobles
puertas para un mejor control del acceso del personal.
 PREVENCION CONTRA ATAQUES INFORMATICOS

NAVEGACIÓN EN INTERNET Y LA UTILIZACIÓN DEL CORREO ELECTRÓNICO:

• Utilice contraseñas seguras, es decir, aquellas compuestas por ocho

caracteres, como mínimo, y que combinen letras, números y símbolos. Es
conveniente además, que modifique sus contraseñas con frecuencia.
• Navegue por páginas web seguras y de confianza. Para diferenciarlas
identifique si dichas páginas tienen algún sello o certificado que garanticen
su calidad y fiabilidad.
• Sea cuidadoso al utilizar programas de acceso remoto. A través de
internet y mediante estos programas, es posible acceder a un ordenador,
desde otro situado a kilómetros de distancia.
 PREVENCION CONTRA ATAQUES INFORMATICOS

NAVEGACIÓN EN INTERNET Y LA UTILIZACIÓN DEL CORREO ELECTRÓNICO:

• Ponga especial atención en el tratamiento de su correo electrónico, ya que es una de
las herramientas más utilizadas para llevar a cabo estafas, introducir virus, etc. Por ello
es recomendable:
o No abra mensajes de correo de remitentes desconocidos.
o Desconfíe de aquellos e-mails en los que entidades bancarias, compañías de subastas
o sitios de venta online solicitan contraseñas, información confidencial, etc.
o No difunda aquellos mensajes de correo con contenido dudoso y que le piden ser
reenviados a todos sus contactos.
o Utilice algún tipo de software Anti-Spam para proteger su cuenta de correo de
mensajes no deseados.
GRACIAS