04 Fraudes Rev.12

UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS
DEPARTAMENTO DE CONTADURIA PÚBLICA
AUDITORIA DE SISTEMAS DE INFORMACION I
FRAUDES RELACIONADOS CON TECNOLOGIA DE LA
INFORMACION (TI)
2013
Documento preparado por el Lic. Roberto Chang para ser utilizado en la clase de Auditoría de 1
Sistemas de Información. Junio 2012.
FRAUDES RELACIONADOS CON TECNOLOGIA DE LA INFORMACION (TI)
1. Alteración de Información
2. Caballo de Troya
3. Técnica del Salami
4. Superzapping
5. Trampas – Puerta
6. Bombas Lógicas
7. Escobitas
8. Accesos no autorizados
9. Intercepción.
10. Clonación de tarjetas bancarias
11. Imitación de página principal
12. Imitación de sitios WEB
ALTERACION DE INFORMACION
¿En qué consiste?

Consiste en cambiar, incluir, modificar la información de las operaciones antes
o durante la entrada al computador.
¿Quiénes pueden hacer esta clase de fraude? :

Lo puede hacer cualquier persona que tenga acceso al proceso de crear,
registrar, transportar, codificar, examinar, convertir la información que entra al
computador.(Conserjes, secretarias, trascriptores, personal que ingresa datos a
las aplicaciones, grupo de control, operador de aplicaciones.)
¿Cómo se puede evitar?

1. El traslado de la información debe ser en maletines especiales que eviten
acceso fácil a los documentos que se transportan.
2. Las personas que interviene en la formulación, ingreso, actualización y/o
comprobación de los datos no deben tener acceso a los formularios en
blanco como recibos, cheques, comprobantes, etc. que faciliten la
suplantación de documentos los originales.
3. Separación de deberes en el ingreso, actualización y comprobación: El
que ingresa los datos no los debe autorizar, comprobar ni actualizar. El
que comprueba los datos debe ser independiente de los que ingresaron o
actualizaron los datos, etc.
4. Implementación de totales de control: Cantidad de documentos, suma de
valores, hash total, etc.
5. Verificaciones de autorizaciones de los documentos
6. programas o rutinas de inconsistencias para comprobar errores o fraudes
en los datos
7. procesos eficientes de selección, reclutamiento y selección de personal y
oportunas políticas de investigación del personal.
CABALLO DE TROYA
¿Cómo se efectúa este fraude?

Una persona que sabe programar tiene acceso a los programas fuentes e
inserta en un programa instrucciones de fraude para que el programa los ejecute
permanentemente cuando se cumpla los parámetros dados por el defraudador.
El programador pudo tener acceso no autorizado o también aprovechando un
acceso autorizado para hacer cambios autorizados inserta las instrucciones
fraudulentas.
El programador consigue acceso al programa fuente, inserta las instrucciones de
fraude para que se ejecute permanentemente cuando se cumplan los
parámetros dados por el defraudador , compila el programa fuente, prueba que
el fraude funciona y por ultimo tiene acceso al servidor de producción para
colocar el programa objeto resultante de la compilación.
¿Quiénes lo pueden hacer?

Una persona que conozca la aplicación, sepa programar, que tenga acceso a los
programas fuentes y al servidor de producción

1. Tener una biblioteca que administre y controle correctamente los
recursos computacionales, permitiendo el acceso a los programas
fuentes y a la documentación técnica solo con la debida
autorización control de los mismos.
2. Tener eficientes procedimientos de control que no permitan que
cualquier persona pueda retirar y/o adicionar programas objetos o
ejecutables en los servidores de producción.
3. Revisar oportuna y completamente las modificaciones autorizadas
a los programas para verificar que no se han incluido
modificaciones no autorizadas.
4. Procesos eficientes de selección, reclutamiento y selección de
personal y oportunas políticas de investigación del personal
5. No permitir que personal de TI tenga acceso a servidores de
producción.
6. Editores y compiladores no deben estar disponibles en servidores
de producción
TÉCNICA DEL SALAMI
¿En qué consiste?

 Robo de pequeñas cantidades desde un gran número de registros mediante
fraude en el programa.
 Los fondos así obtenidos se aplican a una cuenta especial.
 Los totales de control no cambian.
¿Cómo se efectúa este fraude?

Una persona que sabe programar tiene acceso no autorizado al programa
fuente de cálculos de intereses y adiciona instrucciones fraudulentas para que
pequeñas cantidades fijas resultantes de los cálculos de los intereses ( centavos
de las decenas) sean acreditados a una cuenta del estafador en vez de que
sean acreditados las cuentas de los clientes, posteriormente vuelve a compilar el
programa fuente, comprueba que el fraude funciona y posteriormente coloca el
programa ejecutable o objeto con fraude en el servidor de producción. También
lo pueden hacer aprovechando un acceso autorizado al programa.

recursos computacionales, permitiendo el acceso a los programas
fuentes y a la documentación técnica solo con la debida autorización
control de los mismos.
2. Tener eficientes procedimientos de control que no permitan que cualquier
persona pueda retirar y/o adicionar programas objetos o ejecutables en
los servidores de producción.
3. Revisar oportuna y completamente las modificaciones autorizadas a los
programas para verificar que no se han incluido modificaciones no
autorizadas.
4. Procesos eficientes de selección, reclutamiento y selección de personal y
5. No permitir que personal de TI tenga acceso a servidores de producción.
6. Editores y compiladores no deben estar disponibles en servidores de
producción
SUPERZAPPING
¿En qué consiste?

 Deriva su nombre de Superzap un programa de utilidad de IBM que se usa
en muchas instalaciones.
 Superzap puede saltar controles y modificaciones o esconder información.
 Los programas de utilidad como el Superzap, (ver ditto), son herramientas
poderosas y peligrosas.
 Estos programas de utilidad están ubicados frecuentemente en librerías
donde los puede usar cualquier programador u operador que conozca su
existencia.

Estos son poderosos programas que son elaborados por los fabricantes de los
sistemas operativos con fines de facilitar labores del personal de TI.
Los programadores de sistemas o analistas y/ o programadores de aplicaciones
o cualquier personal de TI que conozca su localización y pueda utilizarlos
pueden hacer uso de estos poderosos programas para cometer fraudes.

1. Estos poderosos programas no deben estar instalados permanentemente
en el computador; Su uso debe controlado y supervisado y autorizado e
instalado en el computador solamente cuando sea necesario.
oportunas políticas de investigación del personal
TRAMPAS – PUERTAS
¿En qué consiste?

 Muy pocos computadores tienen sistemas operativos o de seguridad
adecuadamente seguros.
 Trampas-puerta son deficiencias en los sistemas operativos y de seguridad.
 Los programadores del sistema (programadores de sistemas) pueden
aprovechar estas trampas si son lo suficientemente expertos, para insertar
instrucciones adicionales o para realizar funciones no autorizadas.
 Las salidas (usser-exits) en los programas del sistema operativo le permiten
transferir el control a un programa escrito por el usuario.
¿Quiénes pueden hacer esta clase de fraudes?

Todo el personal de TI que tenga acceso al sistema operativo, conozca su
funcionamiento y tenga conocimiento de las deficiencias del sistema operativo y
de seguridad puede aprovechar estas debilidades para cometer fraudes.

1. Reportar estas deficiencias a los fabricantes de los sistemas operativos o
de seguridad.
2. Colocar oportunamente los parches (Instrucciones de corrección) que los
fabricantes de los software remitan para corregir las deficiencias y
debilidades reportadas.
3. Contar con software de búsqueda de vulnerabilidades ( Retina, Asuria
security, Backtrack
4. Efectuar periódicamente pruebas de penetración o pruebas de intrusion
BOMBAS LOGICAS
¿En qué consiste?

 Un programa que busca una condición o estado específico.
 Hasta tanto esa condición o estado no se cumpla el programa trabaja bien.
 Cuando la condición o estado se presenta entonces una rutina realiza una
acción no autorizada.
¿Cómo se hace este fraude?

Una persona que ha sido despedida o que ha renunciado descontento y sabe
programar consigue acceso a los programas fuentes e inserta en un programa
instrucciones de fraude para que el programa las ejecute en un momento
determinado cuando se cumpla los parámetros dados por el defraudador (hacer
una trasferencia una cuenta propia en fecha en la que ya no labore en la
empresa). El programador pudo tener acceso no autorizado o también
aprovechando un acceso autorizado para hacer cambios autorizados inserta las
instrucciones fraudulentas.
El defraudador consigue acceso al programa fuente, inserta las instrucciones de
fraude para que se ejecute en un momento determinado cuando se cumplan los
parámetros dados por el defraudador, compila el programa fuente, prueba que el
fraude funciona y por ultimo tiene acceso al servidor de producción para colocar
el programa objeto resultante de la compilación.

Personal de TI que ha sido despedido o que ha renunciado y se muestra
descontento, que tenga conocimientos de programación, tenga acceso a los
programas fuentes y a los servidores de producción
1. Implementar procedimientos a considerar para los despidos o renuncia de
personal descontento como no dar preaviso, cancelar inmediatamente los
accesos al computador tanto físico como lógico, solicitar reintegro de
llaves de acceso, y otros recursos computacionales en su poder, etc.
2. Según el caso, acompañamiento del personal despedido a la salida de la
empresa.
recursos computacionales, permitiendo el acceso a los programas fuentes
y a la documentación técnica solo con la debida autorización control de
los mismos.
4. Tener eficientes procedimientos de control que no permitan que cualquier
persona pueda retirar y/o adicionar programas objetos o ejecutables en
los servidores de producción.
5. No permitir que personal de TI tenga acceso a servidores de producción.
6. Editores y compiladores no deben estar disponibles en servidores de
producción
ESCOBITAS
¿En qué consiste?

 Un método de conseguir información dejada en el computador o en su
periferia después de la ejecución de un trabajo.
 Un método simple es buscar copias no utilizadas de listados o papel carbón.
 Métodos sofisticados incluyen la búsqueda de datos residuales dejados en el
computador después de un trabajo, por ejemplo dispositivos reutilizables CD,
DVD, USB, cintas utilizadas anteriormente etc.
 Búsqueda de información en los discos duros de los computadores que son
remitidos para reparación

1. Personal que tiene acceso al papel carbón o informes impresos que no se
destruyen adecuadamente (aseadoras, recogedores de basura, etc.)
2. Personal de TI, personal del dueño del negocio y usuarios que tengan
acceso a dispositivos reutilizables en los que se ha grabado información
confidencial de la empresa.
3. Personal que repara computadoras.

1. El papel carbón y los informes impresos que tengan información
confidencial deben ser destruidos (maquinas destructoras de papel) o
incinerados adecuadamente.
2. La información de los dispositivos reutilizables deben ser borrados
cuando no se necesiten.
3. Los dispositivos no reutilizables cuando ya no se necesite la información
contenida en ellos deben ser destruidos.
4. Los computadores que han manejado información confidencial cuando se
entreguen para su reparación se les debe formatear el disco duro.
ACCESOS NO AUTORIZADOS
¿En qué consiste?

 Tener acceso al computador o cualquier recurso del sistema.
 Físicamente, se puede seguir a un funcionario autorizado.
 Electrónicamente, usando una terminal que ya se ha activado y que fue
abandonada momentáneamente
 Acensando al sistema utilizado una terminal no autorizada.
 Suplantación, física o electrónica, obteniendo los contraseñas, códigos o
cualquier otro método de imitar una persona autorizada.
 Accesando el computador por medio de la obtención de las contraseñas
obtenidas por engaño, como por ejemplo el pshing, ingeniería social,
keyloging, log on log off, simulación de sitios web, etc.:
 Obteniendo acceso por contraseñas obtenidas por descuidos del personal
(copia de contraseñas en partes visibles, préstamo de contraseñas,
pronunciamiento de contraseñas en ambientes, contraseñas fáciles de
adivinar, etc.)
 Accesos de hacker y cracker a nuestra red

1. El personal interno y externo que ha obtenido contraseñas por medio
fraudulento, por abandono de terminal, por descuido, por préstamo, por
engaño, etc.
2. Personal con conocimientos técnicos que pueden accesar a nuestra
sistemas de información por medio de terminales no autorizadas, como
los hacker y cracker.

1. Instrucciones al personal sobre la adecuada administración de sus
contraseñas, comenzando desde la firma de responsabilidad sobre su uso
por otras personas, confidencialidad, discrecionalidad, prudencia hasta
las instrucciones de construir contraseñas robustas.
2. Cambios forzados de contraseñas, con software de mejores prácticas que
no permiten reutilización de al menos cinco contraseñas usadas
anteriormente.
3. Correcta administración de los accesos privilegiados, con análisis y
revisiones previos con periodos más cortos de revisión que los accesos
normales.
4. Comunicación e instrucciones permanentes al personal sobre nuevas
formas de engaño (ver detalle mencionado) para robarles las
contraseñas, las acciones recomendadas y la concientización de la
responsabilidad sobre las mismas.
5. Controles de software (call back) y de hardware (dispositivos de
autenticación e identificación pegados a las terminales) y firewall que
eviten el enlace de terminales no autorizadas a nuestra red.
6. Software adecuado para el archivo y custodia de las contraseñas, el cual
debe ser encriptado y unidireccional.
7. Diseño de redes de acuerdo a los riesgos detectados (redes internas,
externas, confidenciales, publicas, etc.) hasta de zonas desmilitarizadas.
8. Colocar oportunamente los parches de seguridad que no permitan el
acceso no autorizado por las debilidades o deficiencias que los mismos
presentan en este aspecto.

INTERCEPCION
¿En qué consiste?

Es la conexión de una computadora no autorizada a nuestro sistema de
información por medio alambico o inalámbrico para efectuar intercepción activa o
pasiva a la información que se transmite en la organización
 Es muy fácil la conexión
 Requiere equipo no costoso que es de venta libre.
 Se intervienen los circuitos de comunicación entre:
 Terminales y concentradores
 Terminales y computadores
 Computadores y computadores.
 La intercepción de comunicaciones por microondas o satélite es también
técnicamente posible.
Personal técnico externo e interno con experiencia en comunicaciones

1. Las líneas de comunicación deben ser adecuadamente protegidas con
ductos especiales, enterrados y/o que pasen por lugares privados que
eviten al máximo el posible contacto con ellos
2. Los hub, router o switch deben ser protegidos con cápsulas especiales
con llaves y controlados su acceso adecuadamente.
3. La seguridad para los accesos inalámbricos debe estar a la altura de las
mejores prácticas actuales.
4. Deben implementarse protocolos de comunicación certificados y seguros
(SSL) , además, deben rotarse y debe haber una adecuada gestión de los
algoritmos criptográficos (criptosistema)
5. La información sensible y confidencial debe transmitirse encriptada.
6. Donde sea posible y practico debe utilizarse la criptografía de llaves
privadas y públicas, incluyendo la firma digital
CLONACION DE TARJETAS BANCARIAS
¿En qué consiste?

La clonación de tarjetas de crédito o debito, también conocido como skimming,
consiste en la duplicación de tarjetas de crédito o debito sin el consentimiento
del dueño de la tarjeta. Los delincuentes que se dedican a esto utilizan
diferentes tipos de dispositivos electrónicos que los ayudan a clonar de las
tarjetas.
Las Causas
El área gerencial del comercio no supervisa el manejo de pagos con tarjeta de
crédito o débito que sus clientes confían a los empleados.
La persona dueña de la tarjeta no vigila que el uso de ésta sea el correcto.
 Al pagar en una tienda con su tarjeta de crédito o debito, preste mucha

atención por dónde el empleado pasa la tarjeta. No pierda de vista su tarjeta.
 No entregar la tarjeta al empleado, vaya usted mismo y pague la cuenta
antes de irse.
 Al retirar dinero de los cajeros asegúrese de que no tenga ningún
dispositivo extraño instalado por donde se introduce la tarjeta.
 Cubrir el teclado cuando se introduzca el n
Los Riesgos o Consecuencias

El bloqueo de la tarjeta clonada, misma que no podrá usar el dueño mientras el
banco la recupera.
Que terceros giren dinero y paguen productos y/o servicios con cargo a su
cuenta, como si usted los hubiera realizado.
Los Protocolos de Seguridad a Seguir
1. Verificar siempre los comprobantes del banco para detectar movimientos

irregulares a tiempo.
2. Ponernos en contacto con nuestro banco o institución de banca para
darles a conocer el incidente y la bloqueen de manera inmediata.
3. El banco reemplazara tu tarjeta y pondrá en disputa los cargos que no
reconozcan. Al ponerlos en disputa no tendrás que pagarlos mientras se
realiza una investigación.
4. Denunciar el robo ante la policía, así obtendrás otra prueba adicional a la
que acudir en el caso de cualquier contratiempo.
IMITACION DE PAGINA PRINCIPAL
¿En qué consiste este fraude?
Consiste en elaborar un programa para imitar las páginas principales o de
bienvenida de las empresas, de los bancos o empresas internamente y cuando
el usuario creyendo que está leyendo la pagina original introduce su ID y su
contraseña, la cual es robada al solo introducirla y a continuación se apaga,
teniendo el usuario que encender la computadora.
¿Quiénes pueden hacer esta clase de fraude?
Personal de TI interno y personal técnico externo
¿Cómo evitar este fraude?
Para evitar este fraude se sugiere el control log on-log off que consiste en que
toda persona que utilice las computadoras debe siempre encender la
computadora aun cuando la encuentre encendida mostrando la pagina principal.
IMITACION DE SITIOS WEB
¿En qué consiste?
Consiste en imitar las páginas WEB de los bancos o empresas en las que
tengan que identificarse y autentificarse y el usuario creyendo que esta
accesando a la pagina original introduce su ID y su contraseña, la cual es
robada al solo introducirla.
¿Quiénes pueden hacer esta clase de fraude?
Personal de TI interno y personal técnico externo
¿Cómo evitar esta clase de fraude?
Para evitar este fraude se sugiere el control de que el usuario verifique que la
pagina sea segura viendo httpS ; la S es de seguro; También , verificar en los
iconos de la pagina de las compañías que certifican la pagina web y las
compañías que certifican la seguridad.
Vulnerabilidades
Disco
Terminal
Concentrador Computador Cinta

Terminal
Central uetc
Reporte
Terminal
Intercepción Intercepción
activa o pasiva activa o pasiva - Robo
- Copia
- Acceso no
autorizado
Entrada datos no autorizados - Modificación a
Creación , alteración, o datos
destrucción fraudulenta de Ingreso - Cambios a
documentos. de datos programa
Acceso no autorizado a - Cambios a sistema
información confidencial. operacional
Cambios al programa
Entrada fraudulenta
Cambio de programa Uso de utilitarios

Procesos no Robo
autorizados. Copia
Acceso no
autorizado
Reporte
fraudulento.
INVESTIGACION DE CASOS DE FRAUDE
Causa No. casos

Controles de entrada deficientes 147
Controles deficientes sobre los programas 98
Controles de acceso deficientes 46
Deficiencias en operación del computador y la terminal. 43
Deficiencias en la prevención de suplantación 19
Controles deficientes en las librerías 9
Total 362
OCURRENCIA DE LOS DELITOS TECNICOS
Nivel 1 No requieren conocimientos técnicos fraudes del usuario, fraudes
en el proceso de entrada, salida búsqueda de listados,
suplantación, adulteración de documentos fuente, robo de equipo,
robo de archivos… (65%)
Nivel 2 Requieren conocimientos técnicos moderados manipulación de
programas de aplicación, búsqueda en línea, examen de discos
scratch, técnica del salami…
(30%)
Nivel 3 Requieren conocimientos técnicos avanzados fraudes en sistema
operacional, penetración de sistemas TP, bombas lógicas,
RELACIÓN DEL CARGO Y EL RIESGO
AUDITOR DE SISTEMAS
OFICIAL DE SEGURIDAD
OPERADOR DEL COMPUTADOR
TRANSCRIPTOR (GRABADOR, PERFORADOR)
JEFE DE OPERACIONES
PROGRAMADOR DEL SISTEMA
INGENIERO DEL COMPUTADOR
JEFE DE PROGRAMACION
PROGRAMADOR
INGENIERO DE COMUNICACIONES
ADMINISTRADOR DE LA BASE DE DATOS
CINTOTECARIO.
PREVENCION DEL FRAUDE EN EL COMPUTADOR
Para la prevención de fraudes en el computador deben implementarse las
siguientes tres acciones:
CONTROLES
SEGURIDADES FISICAS
AUDITORIA DE SISTEMAS
TECNICAS DE DETECCION DE FRAUDES
FRAUDE EN EL PROGRAMA
Para detectar fraudes en los programas se pueden aplicar las siguientes

técnicas de auditoría:
 PROGRAMAS DE SIMULACION
 REVISION DE LA CODIFICACION FUENTE
 COMPARACION DE LA CODIFICACION FUENTE
 SOFTWARE DE LAS LIBRERIAS
 PRUEBAS A LOS SISTEMAS
TRANSACCIONES FRAUDULENTAS
Para detectar transacciones fraudulentas se puede aplicar lo siguiente:
 SOFTWARE DE BUSQUEDA
 SOFTWARE DE AUDITORIA, INVOLUCRADO
 CONFIRMACIONES A CLIENTES
 ANALISIS ESTADISTICOS Y DE TENDENCIAS
DIFERENCIAS ENTRE EL AUDITOR Y EL INVESTIGADOR EN DELITOS
TECNICOS (AUDITOR FORENSE)
AUDITOR INVESTIGADOR
Objetivo Averiguar que puede suceder y a Averiguar que sucedió quien lo
veces que sucedió hizo.
Si hay delito denunciar.
Pruebas Sustenta sus hallazgos ante la Debe probar los hechos en un
administración juzgado.
Muestra evidencia pero:
Debe probar que son lo que
dice ser.
Debe identificarlas (todos los
listados son iguales para un
juez).
Debe probar que no se han
modificado.
Se limita a conocer lo que sucedió.
Tiene que probar ante el juez
que realmente sucedió.
El administrador conoce el medio y
el problema. Ni el juez ni el jurado conocen
el medio y el problema.
ANEXO DE FRAUDES
AMENAZAS A LA SEGURIDAD INFORMATICA
Software utilizado por atacantes:
EXPLOIT ((explotar ó aprovechar)

Es una pieza de software o una secuencia de de comandos con el fin de causar
un error o un fallo en alguna aplicación, a fin de causar un comportamiento no
deseado o imprevisto en los programas informáticos, hardware, o componente
electrónico (por lo general computarizado). Con frecuencia, esto incluye cosas
tales como la toma de control de un sistema de cómputo o permitir la escalada
de privilegios o un ataque de denegación de servicio
El fin del Exploit puede ser violar las medidas de seguridad para poder acceder
al mismo de forma no autorizada y emplearlo en beneficio propio o como origen
de otros ataques a terceros.
ADWARE
Muestra anuncios o abre páginas WEB no solicitadas
Un programa de clase adware es cualquier programa que automáticamente se
ejecuta, muestra o baja publicidad web al computador después de instalar el
programa o mientras se está utilizando la aplicación. 'Ad' en la palabra 'adware'
se refiere a 'advertisement' (anuncios) en inglés
Los anuncios emergentes aparecen durante la navegación web en el navegador
como una ventana emergente o también durante el uso de programa del
ordenador. Esta publicidad es molesta en algunos casos, llegando incluso a
deteriorar el rendimiento del sistema. El adware también puede recopilar
información del usuario, amenazando la privacidad del ordenador
Para poder proteger el ordenador contra los adware, en la mayoría de los casos
hay que seguir los siguientes pasos cada cierto tiempo:
 Ejecute las actualizaciones de antispyware y antiadware, así como

analizar regularmente su sistema operativo MS Windows.
 Activar las opciones de inmunización en el software antispyware y
antiadware.
 Asegurarse que el software del sistema operativo, navegador y correo
electrónico tiene las actualizaciones más recientes para cubrir los agujeros
de seguridad.
 Tener activado el cortafuegos (firewall) cuando se usa Internet.
 Utilizar la protección preventiva contra los sitios web peligrosos.
 Ten siempre un antivirus actualizado en tu sistema MS Windows.
 Usar programas de licencia libre, cuyo código fuente es analizable, como
alternativa a los adware
 malintencionado. Termino para designar un programa informático que
provoca de forma intencionada una acción dañina para sistema y/o
usuario.
 Definición clásica: Virus, troyanos, gusanos bombas
SPYWARE
El spyware o programa espía es un software que recopila información de un
ordenador y después transmite esta información a una entidad externa sin el
conocimiento o el consentimiento del propietario del ordenador.
El término spyware también se utiliza más ampliamente para referirse a otros

productos que no son estrictamente spyware. Estos productos, realizan
diferentes funciones, como mostrar anuncios no solicitados (pop-up), recopilar
información privada, redirigir solicitudes de páginas e instalar marcadores de
teléfono.
Un spyware típico se auto instala en el sistema afectado de forma que se ejecuta

cada vez que se pone en marcha el ordenador (utilizando CPU y memoria RAM,
reduciendo la estabilidad del ordenador), y funciona todo el tiempo, controlando
el uso que se hace de Internet y mostrando anuncios relacionados.
Sin embargo, a diferencia de los virus, no se intenta replicar en otros

ordenadores, por lo que funciona como un parásito.
Las consecuencias de una infección de spyware moderada o severa (a parte de

las cuestiones de privacidad) generalmente incluyen una pérdida considerable
del rendimiento del sistema (hasta un 50% en casos extremos), y problemas de
estabilidad graves (el ordenador se queda "colgado"). También causan dificultad
a la hora de conectar a Internet. Algunos ejemplos de programas espía
conocidos son Gator, o Bonzi Buddy
KEYLOGGER
Captura las teclas pulsadas por el usuario, permitiendo obtener datos sensibles
como contraseñas. Utiliza accesorio que es conectado a las computadoras para
robar las contraseñas.
Los controles son que los usuarios utilicen pantallas digitales al digitar el ID y la
contraseña al accesar a los banco y utilizar un software que detecte accesorios
keylogger conectados a las computadoras
Dialer: Realiza una llamada a través de modem o RDSI para conectar a internet
utilizando números de tarificación original sin conocimiento del usuario
Técnicas utilizadas por atacantes
INGENIERIA SOCIAL
Ingeniería Social: El arte o ciencia de hacer que la gente haga lo que
queremos. El deseo natural del hombre lo hace vulnerable.
Como funciona?
Ejemplo de preguntas a las personas: : Yo también utilizo una red, ¿Cómo
configura sus firewall? Nunca pude pensar en una buena contraseña ¿Qué
utiliza usted?
PHISHING
Tipo de engaño diseñado con la finalidad de robar la identidad al usuario,
generalmente se utiliza el correo electrónico. Envió de mensajes electrónicos
que fingen ser notificaciones oficiales con el fin de obtener información personal
de los usuarios para hacerse pasar por ellos en diversas operaciones on line
(nueva modalidad: Phishing por teléfono o SMS
Como Funciona?
El pescador envía mail fraudulentos a la víctima, victima sigue indicaciones del
pescador, victima compromete información confidencial, información confidencial
es enviada al pescador, Pescador utiliza información confidencial para suplantar
a la víctima.
Pharming. Método utilizado para enviar a la victima a una pagina WEB que no
es la original solicitada
Sniffing: La habilidad de un agresor de escuchar a escondidas las

comunicaciones entre los hosts de la red
ROOKITS
Rootkit es un conjunto de herramientas usadas frecuentemente por los intrusos

informáticos o crackers que consiguen acceder ilícitamente a un sistema
informático. Estas herramientas sirven para esconder los procesos y archivos
que permiten al intruso mantener el acceso al sistema, a menudo con fines
maliciosos.
Hay rootkits para una amplia variedad de sistemas operativos, como Linux,

Solaris o Microsoft Windows.
Todo tipo de herramientas útiles para obtener información de forma ilícita

pueden ser ocultadas mediante rootkits

Los rootkits tratan de encubrir a otros procesos que están llevando a cabo
acciones maliciosas en el sistema. Por ejemplo, si en el sistema hay una puerta
trasera para llevar a cabo tareas de espionaje, el rootkit ocultará los puertos
abiertos que delaten la comunicación; o si hay un sistema para enviar spam,
ocultará la actividad del sistema de correo.
Los rootkits, al estar diseñados para pasar desapercibidos, no pueden ser

detectados. Si un usuario intenta analizar el sistema para ver qué procesos
están ejecutándose, el rootkit mostrará información falsa, mostrando todos los
procesos excepto él mismo y los que está ocultando.
O si se intenta ver un listado de los ficheros de un sistema, el rootkit hará que se

muestre esa información pero ocultando la existencia del propio fichero del
rootkit y de los procesos que esconde.
Cuando el antivirus hagan una llamada al sistema operativo para comprobar qué

ficheros hay, o cuando intente averiguar qué procesos están en ejecución, el
rootkit falseará los datos y el antivirus no podrá recibir la información correcta
para llevar a cabo la desinfección del sistema.

¿Cómo prevenirnos?
Es necesario un sistema que vigile no únicamente la actividad de los archivos en

el disco, sino que vaya más allá. En lugar de analizar los archivos byte a byte,
debe vigilarse lo que hacen al ejecutarse.
Un rootkit necesita llevar a cabo algunas tareas que se podrían considerar

“típicas”, como adquirir derechos de root, modificar llamadas básicas al sistema
operativo, falsear sistemas de reporte de datos del sistema… Todas estas
tareas, una a una, entrañan poco peligro. Pero todas ellas, juntas y en el mismo
momento, llevadas a cabo por el mismo programa, proporcionan información
clara de que algo extraño está pasando en la computadora. Si las soluciones
antivirus fracasan definitivamente a la hora de detectar un rootkit, las nuevas
tecnologías de detección de amenazas por comportamiento tienen su mejor
prueba de eficacia en la detección y bloqueo de rootkits. Estas tecnologías no
basan su funcionamiento en condicionantes previamente aprendidos sobre
patrones cerrados de identificación de amenazas. Su éxito se basa en la
investigación inteligente y automática de la situación de un proceso en una
computadora.
Cuando una serie de acciones se llevan a cabo sobre el sistema y todas ellas (o,
al menos, alguna) pueden suponer un riesgo para la integridad de la información
o el correcto funcionamiento de la máquina, se evalúan una serie de factores
que sirven para calificar la peligrosidad de esa tarea. Por ejemplo, que un
proceso quiera tomar derechos de administración en un sistema puede ser más
o menos habitual. Y tiene un cierto riesgo, sin duda, pero no hay que alertar por
ello. Un simple instalador para un juego puede necesitar tener derechos de
administrador para poder llevar a cabo las modificaciones necesarias y poder
ejecutarse correctamente.
O por ejemplo, es posible que un determinado proceso deba permanecer oculto,
ya que no existe posibilidad de interacción, o que un determinado proceso abra
un puerto en concreto para comunicarse, o que registre pulsaciones de teclas.
Pero todas esas características juntas hacen que el proceso se pueda
considerar como una amenaza y sea necesario un análisis en profundidad para
poder autorizar la ejecución de manera segura.
Una vez infectado, los rootkits pueden eliminarse (aunque no tan fácilmente).
Estos programas se autoprotegen escondiéndose y evitando que ningún otro
proceso (como un antivirus) pueda detectarlos. Pero para que ese proceso
pueda ocultarse, debe estar en funcionamiento y activado en memoria.
La mejor manera de evitar que el proceso entre en acción, es evitar el arranque
del sistema operativo en el disco en el que se encuentra el rootkit, utilizando un
disco diferente al del sistema infectado; como puede ser un CD. Así, si el rootkit
es conocido, podrá eliminarse.
Sin embargo, si el rootkit no es conocido (es decir, que ha sido desarrollado

específicamente para un sistema en concreto), cualquier antivirus fracasará. En
este caso, el problema informático es casi el menos importante: hay una persona
que, intencionadamente, quiere hacer daño a su empresa y se ha molestado en
entrar en el sistema para perjudicarle.
Existen varias herramientas Anti-Rootkits totalmente gratuitas que puede

descargar directamente desde Infospyware para comprobar su sistema en busca
de estos.

04 Fraudes Rev.12

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

04 Fraudes Rev.12

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS

DEPARTAMENTO DE CONTADURIA PÚBLICA

AUDITORIA DE SISTEMAS DE INFORMACION I

FRAUDES RELACIONADOS CON TECNOLOGIA DE LA

3. Técnica del Salami

10. Clonación de tarjetas bancarias

11. Imitación de página principal

12. Imitación de sitios WEB

¿En qué consiste?

¿Quiénes pueden hacer esta clase de fraude? :

¿Cómo se puede evitar?

¿Cómo se efectúa este fraude?

¿Quiénes lo pueden hacer?

¿Cómo se puede evitar?

¿En qué consiste?

¿Cómo se efectúa este fraude?

¿Cómo se puede evitar?

¿En qué consiste?

¿Quiénes pueden hacer esta clase de fraude? :

¿Cómo se puede evitar?

¿En qué consiste?

¿Quiénes pueden hacer esta clase de fraudes?

¿Cómo se puede evitar?

¿En qué consiste?

¿Cómo se hace este fraude?

¿Quiénes pueden hacer esta clase de fraude? :

¿En qué consiste?

¿Quiénes pueden hacer esta clase de fraude? :

¿Cómo se puede evitar?

¿En qué consiste?

 Físicamente, se puede seguir a un funcionario autorizado.

 Electrónicamente, usando una terminal que ya se ha activado y que fue

 Acensando al sistema utilizado una terminal no autorizada.

 Suplantación, física o electrónica, obteniendo los contraseñas, códigos o

cualquier otro método de imitar una persona autorizada.

 Accesando el computador por medio de la obtención de las contraseñas

obtenidas por engaño, como por ejemplo el pshing, ingeniería social,

keyloging, log on log off, simulación de sitios web, etc.:

 Obteniendo acceso por contraseñas obtenidas por descuidos del personal

(copia de contraseñas en partes visibles, préstamo de contraseñas,

pronunciamiento de contraseñas en ambientes, contraseñas fáciles de

 Accesos de hacker y cracker a nuestra red

¿Quiénes pueden hacer esta clase de fraude? :

fraudulento, por abandono de terminal, por descuido, por préstamo, por

sistemas de información por medio de terminales no autorizadas, como

los hacker y cracker.

¿Cómo se puede evitar?

contraseñas, comenzando desde la firma de responsabilidad sobre su uso

por otras personas, confidencialidad, discrecionalidad, prudencia hasta

las instrucciones de construir contraseñas robustas.

2. Cambios forzados de contraseñas, con software de mejores prácticas que

no permiten reutilización de al menos cinco contraseñas usadas

3. Correcta administración de los accesos privilegiados, con análisis y

4. Comunicación e instrucciones permanentes al personal sobre nuevas

formas de engaño (ver detalle mencionado) para robarles las

contraseñas, las acciones recomendadas y la concientización de la

responsabilidad sobre las mismas.

5. Controles de software (call back) y de hardware (dispositivos de

autenticación e identificación pegados a las terminales) y firewall que

eviten el enlace de terminales no autorizadas a nuestra red.

6. Software adecuado para el archivo y custodia de las contraseñas, el cual

debe ser encriptado y unidireccional.

externas, confidenciales, publicas, etc.) hasta de zonas desmilitarizadas.

8. Colocar oportunamente los parches de seguridad que no permitan el