Título Publicación: Las Técnicas Manuales y Automatizadas en la Auditoría de

Sistemas y las Técnicas de Fraude Informático

Título del capítulo: Capítulo II. El Control y el Riesgo en los Sistemas de Información

Autor/ Editor: Fabio Enrique Gómez Meneses

Editorial: UNAB

Fecha de publicación: 18 / 11 / 2005

Total de páginas: 6

Observaciones:

Este material está protegido por derechos de autor, cualquier

reproducción ya sea total y/o parcial con propósitos comerciales
deberá hacerse mediante la autorización previa.
All rights reserved.
MÓDULO AUDITORÍA DE SISTEMAS

UNIVERSIDAD AUTÓNOMA DE BUCARAMANGA – CONTRALORÍA

GENERAL DE LA REPÚBLICA

MODALIDADES DE AUDITORÍA II – AUDITORÍA DE SISTEMAS

DOCENTE: C.P. FABIO ENRIQUE GÓMEZ MENESES

LECTURA 6: LAS TÉCNICAS MANUALES Y AUTOMATIZADAS EN LA

AUDITORÍA DE SISTEMAS Y LAS TÉCNICAS DE FRAUDE INFORMÁTICO

LAS TÉCNICAS DE AUDITORÍA

En el desarrollo de una Auditoría de Sistemas, el auditor tiene disponibles diversas

herramientas o técnicas para realizar eficientemente su trabajo. Estas herramientas se
denominan “Técnicas Manuales y Automatizadas de Auditoría de Sistemas”.

El auditor, en la evaluación de sistemas, tiene que combinar el uso de las técnicas manuales
y automatizadas. Pretender realizar dicha labor sólo con las técnicas manuales demandará
mucho más tiempo y los resultados se verán muy tarde, cuando probablemente ya sean
inútiles para la empresa.

A continuación se describen algunas de las múltiples técnicas manuales y automatizadas

existentes.

• TÉCNICAS MANUALES

- Inspección: Consiste en el examen y en la revisión física de documentos,

procedimientos y activos tangibles.

- Observación: Consiste en examinar los procedimientos que otras personas realizan

al interior de la organización.

- Investigación: Consiste en la búsqueda de información recurriendo a las personas

claves ya sea dentro o fuera de la organización y a los sistemas que funcionan en la
empresa. La información obtenida en estas investigaciones permiten al auditor contar
con una serie de evidencias para corroborar.

CONTRALORÍA GENERAL DE LA REPÚBLICA / Las Técnicas Manuales y Automatizadas en la 2

Auditoría de Sistemas y las Técnicas de Fraude Informático / Fabio E. Gómez M.
MÓDULO AUDITORÍA DE SISTEMAS

- Confirmación: Es la respuesta que se da a una investigación que pretende ratificar,

por ejemplo, los datos contenidos en los registros contables.

- Cálculo: Es la verificación de la precisión aritmética de los documentos fuente y de

los registros contables que alimentan un sistema de información.

- Revisión analítica: Es el estudio de razones y tendencias financieras significativas

así como la investigación de fluctuaciones y partidas poco usuales dentro de los
registros o transacciones que forman parte del sistema de información de la
organización.

• TÉCNICAS AUTOMATIZADAS

- Datos de prueba: Esta técnica consiste en que el auditor ejecuta o trabaja las
aplicaciones informáticas o programas contables de la empresa, con datos que
hayan sido preparados por él, de tal forma que los resultados que emite el sistema ya
son conocidos por el auditor. La técnica Datos de Prueba sirve para verificar
exactamente como se comporta el programa y que controles tiene.

- Caso básico: Esta técnica es bastante similar a la Técnica Datos de Prueba, sólo
tiene una ligera variación: que los datos no son preparados por el auditor sino por el
personal de sistemas.

- I.T.F. (Integraded Test Facility) Prueba Integrada de Facilidades: Consiste en

mezclar información ficticia con información real dentro de los sistemas de
información de una empresa, en el proceso normal de operaciones de la
organización.

- Simulación paralela: El auditor, o el personal de auditoría, utiliza aplicaciones

informáticas desarrolladas por ellos mismos, para procesar la información real de la
empresa en un determinado período, de tal forma que se pueda establecer una
comparación con el procesamiento de la información que se haga en las aplicaciones
informáticas de la organización que se esté evaluando.

- Paquetes de auditoría: Los paquetes de auditoría son programas que tienen la

capacidad de procesar y examinar los archivos de un sistema informático, de
acuerdo a unos parámetros que el auditor le haya establecido con anterioridad.

LAS TÉCNICAS DE FRAUDE INFORMÁTICO

CONTRALORÍA GENERAL DE LA REPÚBLICA / Las Técnicas Manuales y Automatizadas en la 3

Auditoría de Sistemas y las Técnicas de Fraude Informático / Fabio E. Gómez M.
MÓDULO AUDITORÍA DE SISTEMAS

El fraude informático se puede definir como las acciones u omisiones que las personas
realizan para afectar a otras o a las organizaciones. Estos delitos son contra la intimidad, el
patrimonio, la información documental.

Dentro de las diversas técnicas de fraude informático existentes podemos mencionar las
siguientes:

• Manipulación de Transacciones: Esta es una de las técnicas más utilizadas. Consiste

simplemente en cambiar los datos o la información antes o durante la entrada a los
sistemas informáticos. Por ejemplo: alterar los documentos fuente y modificar el
contenido en alto relieve de las tarjetas de crédito entre otros.

• Técnica de Salami: La técnica de Salami consiste en sustraer pequeñas cantidades

(tajadas) de un gran número de registros (contables, financieros, etc) mediante la
activación de rutinas (pequeños programas) incluidas en los programas o aplicaciones
normales de la organización. Esta técnica es muy común en los programas que calculan
intereses, porque es allí en donde se facilita la sustracción de residuos que generalmente
nadie detecta, configurándose cómodamente el fraude.

• Técnica del caballo de Troya: La técnica del Caballo de Troya consiste en insertar
instrucciones (código de programación), con objetivos de fraude, en los programas
aplicativos de contabilidad, tesorería, etc., de la organización que se pretende vulnerar,
de manera que, además de las funciones normales que debe realizar la aplicación
informática, también ejecute las funciones no autorizadas.

Esta técnica de fraude es muy común debido a la facilidad que se presenta para ocultar
instrucciones fraudulentas dentro de cientos de instrucciones que generalmente
componen las aplicaciones informáticas de las empresas.

• Bomba lógica: Esta técnica de fraude informático consiste en el diseño e instalación de

instrucciones fraudulentas en el software autorizado de la organización. Estas
instrucciones se activarán cuando se cumpla una condición específica. Esta técnica de
fraude informático es difícil de descubrir, porque mientras no se cumpla la condición
planteada, el programa funciona normalmente, procesando la información de la empresa,
sin arrojar sospecha de ninguna clase.

Un ejemplo de esta técnica puede ser el abono de un crédito o débito no autorizado a

una cuenta cuando el reloj del computador alcance determinado día y hora, o hacer un
traslado de fondos cuando el computador encuentre una determinada condición como
por ejemplo una fecha.
CONTRALORÍA GENERAL DE LA REPÚBLICA / Las Técnicas Manuales y Automatizadas en la 4
Auditoría de Sistemas y las Técnicas de Fraude Informático / Fabio E. Gómez M.
MÓDULO AUDITORÍA DE SISTEMAS

• Juego de la Pizza: El juego de la pizza es una técnica relativamente fácil y simple para
lograr el acceso físico no autorizado a los Centros de Procesamiento de Datos (PED) de
la Organizaciones. Consiste en que un individuo se hace pasar por la persona que
entrega la pizza y en esa forma se garantiza la entrada a las instalaciones de PED
durante y después de las horas de trabajo.

• Ingeniería social: Esta técnica consiste en planear la forma de abordar a personas

dentro de la organización que pueden proporcionar información valiosa o facilitar de
alguna manera la realización de hechos ilícitos o fraudulentos. Generalmente se recurre
a argumentos conmovedores y/o sobornar a las personas para alcanzar los objetivos
deseados.

• Trampas - puerta: Las trampas – puerta son deficiencias en los sistemas operacionales
de las empresas en los cuales se encuentran instaladas las aplicaciones informáticas
que permanentemente usan las organizaciones para el desarrollo de sus actividades
normales. Los Hackers o piratas informáticos pueden aprovechar estas debilidades para
insertar instrucciones no autorizadas y fraudulentas en dicho sistema, con el objeto de
cometer algún acto delictivo.

• Recolección de Basura: La recolección de basura es una técnica que se utiliza para

obtener información que haya sido abandonada o desechada del Centro de
Procesamiento de Datos de la Organización que se quiere vulnerar. Básicamente
consiste en buscar copias de listados producidos por el computador y/ o papel carbón
para de allí extraer información, en términos de programas, datos password y reportes,
entre otros.

• Piggyback (Ir a cuestas para obtener acceso no autorizado): Se trata de una técnica de
fraude informático para lograr el acceso físico, no autorizado, a los recursos del sistema,
entrando detrás o a cuestas de alguien que sí esta autorizado al interior de la
organización.

• Técnica de Taladro: Consiste en utilizar una computadora para llamar o buscar la

manera de entrar al sistema con diferentes códigos o claves, hasta que uno de ellos
resulte aceptado y permita el acceso a la información deseada. Mediante el sistema de
ensayo/error se descubren las contraseñas del sistema para entrar a los archivos y
extraer información en forma fraudulenta. Esta técnica se puede realizar de forma

CONTRALORÍA GENERAL DE LA REPÚBLICA / Las Técnicas Manuales y Automatizadas en la 5

Auditoría de Sistemas y las Técnicas de Fraude Informático / Fabio E. Gómez M.
MÓDULO AUDITORÍA DE SISTEMAS

manual o de forma automatizada, mediante la utilización de programas que se encargan

de probar miles de claves o códigos en períodos de tiempo muy cortos.

• Los virus: Los virus son programas ilícitos de computador o códigos dañinos que atacan
o "infectan" a otros programas y sistemas. Una vez que un programa ha sido infectado
podría ser instruido para realizar funciones no autorizadas antes de extenderse a otros
sistemas.

Los síntomas que se presentan en un sistema o equipo informático que se ve afectado

por un virus, pueden ser los siguientes:

- Reducción significante de la función del sistema.

- Pérdidas o cambios inexplicables de los datos.
- Aparición de gráficas o mensajes no familiares.
- Cambio de los tamaños y fechas de los archivos.
- Activación de dispositivos o programas que no son requeridos por el usuario del
sistema.

CONTRALORÍA GENERAL DE LA REPÚBLICA / Las Técnicas Manuales y Automatizadas en la 6

Auditoría de Sistemas y las Técnicas de Fraude Informático / Fabio E. Gómez M.