AUDITORIA DE SISTEMAS

RESUMEN PLANEACIÓN AUDITORIA DE SISTEMAS

Presenta
Ayda Lucia López Blanco
ID: 401732

Docente
Jimmy Leonardo Velandia Daza

Bogotá D.C Febrero del 2020

Caso de Delito informatico:

La Guardia Civil de Navarra alerta de una campaña de envío de

mensajes suplantando la identidad de un banco

20/02/2020 - 11:23 h. CET

La Guardia Civil de Navarra ha alertado de una campaña
de envío de mensajessuplantando la identidad de diferentes entidades bancarias. Para
tratar de engañar a los usuarios, el mensaje advierte de un bloqueo temporal de
la cuenta en esa entidad bancaria y pretende que se pinche en la dirección que acompaña al
texto.
El enlace redirige a un portal web falso desde el que se pide a la víctima que
introduzca información personal como su DNI, número de teléfono móvil o las claves con
las que accede habitualmente a su banco a través de internet, ha explicado la Guardia Civil
en un comunicado.
Este tipo de actos de suplantaciones se conoce con el nombre de 'phising'. Se trata de una
de las técnicas más utilizadas por los ciberdelincuentes para obtener información personal
o bancaria. Como en este caso, los mensajes de texto fraudulentos son una modalidad
de robo electrónico y se producen cuando el cliente recibe un mensaje del
ciberdelincuente, suplantando la identidad del banco, con el fin de que el usuario haga
"clic" en un enlace para compartir sus datos financieros en un web falsa.
Desde la Guardia Civil han recomendado que si se reciben este tipo de mensajes se llame
directamente a la oficina bancaria o al número de contacto que aparece en la parte posterior
de las tarjetas de crédito. Nunca se debe llamar al teléfono que aparece en el mensaje ni
pinchar el enlace.
Además, el Instituto Armado ha recordado que las entidades bancarias no utilizan este tipo
de métodos para la actualización de datos personales y mucho menos de contraseñas. Por
último, la Guardia Civil ha instado a presentar una denuncia en cualquier de
sus oficinas de atención al ciudadano si se es víctima de este u otro fraude.
Articulo:

Los delitos informaticos son aquellos actos delictivos que se realizan por medio del uso y
del conocimiento de la informatica, es asi como en el caso anterior evidenciamos uno de los
delitos más comunes en el mundo, donde se suplanta la identidad de una persona o una
entidad con el fin de robar datos personales y utilizarlos para realizar robos y fraudes.

Evidentemente este es un caso de “Phishing” el cual consiste en adquirir información

confidencial por medio de mensajería instantánea, correos electrónicos y hasta llamadas
telefónicas para poder robar la información y así poder suplantar las identidades.

¿Pero como podemos mitigar este riesgo desde una auditoria de sistemas?, pues bien, estos
casos de Phishing son muy comunes que ocurran en grandes empresas, donde la seguridad
puede verse vulnerada de una manera u otra ya que puede haber muchas personas
trabajando y pueda no existir una persona que controle o tal vez no sea suficiente
generando el robo de la información y que esta sea revelada a terceros.
Es por eso que desde la auditoria de sistemas se logra identificar aquellos riesgos y lograr
que se tomen las medidas preventivas y los controles necesarios para evitarlos.
De acuerdo a la Ley 1273 del 5 de enero de 2009 quien realice lo anteriormente
mencionado esta violando mas de un articulo de esta ley como es: el articulo 269c
Interceptacion de datos informáticos que da una pena entre 36 a 72 meses de prisión, otro
articulo es el 269f: Violación de datos personales con una pena de 48 a 96 meses de prisión
y el articulo 269g suplantación de sitios web para capturar datos personales, pena que va
desde los 48 a 96 meses de prisión.
Para evitar este tipo de fraudes se hace necesario realizar auditorías periódicas y también el
de implementar controles como:
 La primera vía de acceso es el correo electrónico, así que es necesario restringir los
ejecutables y capacitar al personal para que no abra link sospechosos.
 Controlar por medio de una red interna de la empresa, es decir que esta no sea
pública
 Que los equipos cuenten con un antivirus

Podemos mitigar muchos riesgos pero para ello se necesita de la disponibilidad del personal
a fin de evitar el robo de la información