1MANEJO CONTABLE BAJO NIIF-DIANA MARCELA AGUDELO GALLEG 01-02-2020 Complementar Los Marcos

MANEJO CONTABLE BAJO NIIF,
DE LOS COSTOS Y GASTOS RELACIONADOS CON DELITOS

INFORMATICOS EN LAS EMPRESAS
DIANA MARCELA AGUDELO GALLEGO
UNIVERSIDAD DEL QUINDIO

FACULTAD DE CIENCIAS ECONOMICAS Y ADMINISTRATIVAS
PROGRAMA DE CONTADURIA PÚBLICA
ARMENIA, QUINDIO
MANEJO CONTABLE BAJO NIIF,

DE LOS COSTOS Y GASTOS RELACIONADOS CON DELITOS
INFORMATICOS EN LAS EMPRESAS
DIANA MARCELA AGUDELO GALLEGO
Proyecto presentado como requisito para optar al título de Contador Público
Asesora:
LUZ AMPARO MEJIA CASTELLANOS
Mg. Ingeniería en Informática
UNIVERSIDAD DEL QUINDIO

FACULTAD DE CIENCIAS ECONOMICAS Y ADMINISTRATIVAS
PROGRAMA DE CONTADURIA PÚBLICA
ARMENIA, QUINDIO
RESUMEN
Esta monografía analítica trata sobre la contabilización de los delitos informáticos en un
sistema contable bajo la Norma Internacional de Información Financiera (NIIF), está planteada
desde diferentes puntos de vista de manera tal que pueda ser una fuente de consulta completa
para ilustrar los temas aquí tratados.
Desde el punto de vista informático se describen las técnicas o modalidades denominadas
como delito informático, además de medidas de protección para gestionar el riesgo de ocurrencia
en las organizaciones. Desde la óptica normativa, que se divide en la norma contable y en la
norma penal (esto con el objetivo de tener una visión más completa para abordar la temática), se
enuncian: la norma contable para el registro dentro de la organización y la norma penal para
contemplar las sanciones y el procedimiento ya sea cuando se es víctima o se comete este tipo de
irregularidades.
Se presenta, además, un caso hipotético sobre la comisión de un delito y otro sobre los
perjuicios por caer víctima de estos hechos punibles, se da una visión estadística sobre esta
actividad y se pone en contexto con las organizaciones y el uso de las tecnologías de la
información en sus operaciones cotidianas para la comprensión de las empresas a enfrentar estos
riesgos sobre ciberdelitos o delitos informáticos.
TABLA DE CONTENIDO
TABLA DE ILUSTRACIONES.............................................................................................5
TABLA DE CONTENIDO DE TABLAS..............................................................................6
1. PLANTEAMIENTO DEL PROBLEMA........................................................................7
1.1. Formulación Del Problema......................................................................................11
1.2. Sistematización Del Problema.................................................................................11
2. OBJETIVO GENERAL.................................................................................................13
2.1. Objetivos Específicos................................................................................................13
3. JUSTIFICACIÓN...........................................................................................................14
4. ESTADO DEL ARTE.....................................................................................................18
5. MARCO DE REFERENCIA.........................................................................................19
5.1 Marco Histórico o Antecedentes...............................................................................19
5.2 Marco Teórico............................................................................................................21
5.3 Marco Conceptual......................................................................................................28
5.4 Marco Legal................................................................................................................30
6. FICHAS BIBLIOGRAFICAS.......................................................................................32
7. DESARROLLO DE LOS OBJETIVOS......................................................................38
7.1 Definición Y Descripción De Delitos Informáticos En La Legislación Colombiana

............................................................................................................................................39
7.2. Riegos Que Se Presentan En Las Empresas Según Los Delitos Informáticos.....51
7.3. Contabilización Bajo NIIF De Los Delitos Informáticos Teniendo En Cuenta

Los Costos y Los Gastos En Los Que Se Incurre..........................................................59
7.4. Mecanismos Para La Prevención Y Creación De Políticas Contables Para La

Gestión Del Riesgo De Los Delitos Informáticos...........................................................69
7.4.1 Políticas contables para la gestión del riesgo del delito informático......82
8. ANÁLISIS MONOGRÁFICO.......................................................................................97
9. CONCLUSIONES.........................................................................................................105
10. BIBLIOGRAFÍA.........................................................................................................108
TABLA DE ILUSTRACIONES
Ilustración 1 Distribución Ciberdelitos 2018 En Colombia________________________56
Ilustración 2: Distribución De Victimas Delitos Informáticos En Colombia 2018______58
TABLA DE CONTENIDO DE TABLAS

Tabla 0- 1 Delitos informáticos código penal................................................................................41
Tabla 0- 2 Delitos informáticos código penal continuación..........................................................42
Tabla 0- 3 Contabilización NIIF cuando se es victima..................................................................62
Tabla 0- 4 Contabilización cuando no hay responsable................................................................62
Tabla 0- 5 Contabilización NIIF cuando se gana demanda..........................................................64
Tabla 0- 6 Contabilización cuando se paga una demanda en caso de ser autor del delito...........64
Tabla 0- 7 Actualización de la contingencia al cierre del periodo contable.................................66
Tabla 0- 8 Contabilización después de un fallo.............................................................................66
Tabla 0- 9 Relación de faltantes por fraude financiero.................................................................75
Tabla 0- 10 Discriminación de gastos relacionados al delito informático....................................76
Tabla 0-11 Contabilización NIIF de los conceptos incluidos en la afectación por delito
informático.....................................................................................................................................77
Tabla 0- 12 Detalle de los gastos incurridos por el tercero afectado por delito por parte de la
organización..................................................................................................................................79
Tabla 0- 13 Detalle de otros gastos relacionados por la empresa que cometió el delito
informático.....................................................................................................................................80
Tabla 0- 14 Contabilización del gasto cuando se cometió el delito..............................................81
INTRODUCCION
Esta monografía analítica es una recopilación bibliográfica sobre los delitos informáticos
y la contabilización de los mismos bajo la Norma Internacional de Información Financiera

(NIIF), para presentar de forma concreta la forma correcta de tener en cuenta estas acciones en
un sistema contable en organizaciones que están diariamente expuestas a este tipo de situaciones.
Surge debido a la necesidad de este conocimiento en la aplicación del mismo en el
ejercicio contable de unas organizaciones que hoy en día están regidas por la tecnología y las
ciencias de la información, en un mercado globalizado y unas transacciones financieras on line.
Se hace diseñando unos temas a tratar, recopilando bibliografía ponderante sobre estos
conceptos y haciendo un trabajo analítico para encajar de forma coherente los diferentes ítems
tratados.
Los resultados que se desean obtener de la realización de este trabajo es una fuente de
consulta práctica, con un lenguaje sencillo de fácil comprensión, contextualizando las normas al
ejercicio contable y a la realidad económica de las organizaciones y citar las fuentes en la
redacción del mismo para dar confianza al lector sobre la base teórica y legal de los temas
tratados.
1. PLANTEAMIENTO DEL PROBLEMA
Durante las últimas tres décadas el mundo ha experimentado una revolución de la informática
y la tecnología, tanto así que en los años 70 muy pocos podían imaginar acertadamente como
serían tecnológicamente los años 2000 en adelante. Hay cosas sorprendentes, por ejemplo, las
aplicaciones para comunicación escrita que cuentan con la capacidad de compartir archivos de
distintos formatos tales como fotos, videos, música, archivos de texto, entre otros. Los servicios
streaming que están reemplazando la televisión tal como se conoce, las plataformas e-commerce
como Amazon o Mercado Libre que están dejando de lado las compras en centros comerciales y
almacenes físicos, entre otros ejemplos que se podrían citar.
Conforme la informática ha ido evolucionando, ha sido utilizada para distintas actividades
como transacciones virtuales que reemplazaron la tarea de girar cheques o acercarse a los
corresponsales bancarios, el almacenamiento de información en las organizaciones de manera
magnética mediante computadoras, el diligenciamiento de libros físicos en el área contable y
otras áreas de las empresas.
En este contexto, los delitos informáticos en las organizaciones son un tema que ha venido
adquiriendo suma importancia, sobre todo si se tiene en cuenta el incremento del uso por parte de
las empresas de internet, usos tales como: almacenamiento de información en la nube, las
transacciones bancarias y comerciales a través de portales web y aplicaciones móviles, entre
otros. Esto sumado al incremento de personas dedicadas a vulnerar estos sistemas, alentados por
la facilidad de encontrar en internet el conocimiento técnico para violar los protocolos
informáticos de seguridad y así hurtar información que se pueda vender, tal como bases de datos
de clientes o similares, también hacer fraudes a través de una computadora para apropiarse de
recursos financieros de las empresas.
En la actualidad las organizaciones son conscientes de la importancia de su información, pues
esta es la esencia de la empresa y la garantía del desarrollo de sus actividades en el tiempo, en
este sentido, es importante que se diseñen estrategias para evitar la victimización, mecanismos
que cumplan las normas contables vigentes y la legislación actual, garantizando que por omisión
no se cometa alguno de los delitos informáticos.
En Colombia, en el año 2009 el congreso aprobó la ley 1273 sobre delitos informáticos y se le
adiciona al código penal el Titulo VII denominado “de la protección de la información y de los
datos” que a su vez se divide en dos grandes capítulos, el primero llamado “de los atentados
contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas
informáticos” y el segundo nombrado “de los atentados informáticos y otras infracciones”. En
esta jurisprudencia se describen las conductas que son consideradas delitos y las penas por
incurrir en ellas que van desde los 32 hasta los 120 meses de prisión y multa desde los 100 hasta
los 1500 salarios mínimos legales mensuales vigentes.
Actualmente la Dirección de Impuestos y Aduanas Nacionales también ha emitido
requerimientos que afectan a las empresas y que los obliga a utilizar plataformas tecnológicas
para hacer procesos de cumplimiento de las obligaciones de los contribuyentes, como la
presentación de declaraciones tributarias mediante el sistema interno MUISCA, la
implementación de la factura electrónica mediante la Ley 1819 del año 2016, la firma
electrónica, Ley 527 del año 1999, entre otras.
En este punto, cabe resaltar que también existen una gran cantidad de estándares que apuntan
hacia la seguridad de la información, entre estos podríamos destacar la norma ISO/IEC 27001,
que es un estándar para la seguridad de la información y que especifica los requisitos necesarios
para implantar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información

(SGSI). Así pues, un SGSI debe tener una metodología, ya que la norma solo indica en si misma
lo que se requiere tener, la metodología es la que implementa y desarrolla las actividades con las
que se cumplen dichos requisitos. Estas metodologías son primordiales en cuanto a la protección
de la empresa en el ámbito tecnológico además de ser muy importantes en la contextualización
del problema, sin embargo, no son el objeto de este trabajo cuyo enfoque es contable.
Teniendo en cuenta este marco, la contabilidad y las normas que la rigen toman un papel
determinante en la gestión de los riesgos inherentes a la aplicación de la tecnología, esto en un
contexto en el que la universalización de las TICs está dada por la accesibilidad en cuanto a
costos, los avances en cuanto a desarrollo de software que simplifican procesos contables, la
posibilidad de realizar transacciones financieras de todo tipo e inclusive el desarrollo de
algoritmos de IA (Inteligencia Artificial) que permiten considerar una gran cantidad de variables
para la toma de decisiones trascendentales para el desarrollo del negocio.
También es importante, además, el conocimiento del registro de los delitos informáticos, ya
que la norma contable obliga, por definición, incluir dentro de los estados financieros recursos
que estén en riesgo de perder en el trascurrir del tiempo, el omitir esta información podría
ocasionar que los stakeholders no tengan suficientes parámetros de juicio para tomar decisiones,
lo que a la larga les estaría ocasionando un perjuicio y estaría además en peligro el principio de
negocio en marcha que está contemplado en el marco de la lay 1314 de 2009 que son la adopción
de las NIIF por parte del país.
Estos riesgos informáticos a los que están expuestas las empresas hoy en día y que no
distinguen ni tamaño ni sector productivo, se deben a varios factores entre los cuales se
considera importante resaltar: el acceso a internet en el universo empresarial y la ventaja
competitiva que este acceso representa, la posibilidad de almacenar información en dispositivos
pequeños como memorias flash, smartphones, discos duros externos, etc.; plataformas de
almacenamiento en la nube que guardan información de manera remota y disponible en cualquier
lugar con un acceso internet, las redes sociales como plataforma de comercialización de bienes y
servicios. A esto se deben sumar situaciones como: el bajo conocimiento por parte del personal
de las empresas sobre los temas concernientes a la seguridad de la información, la corrupción
interna, la competencia desleal, la constante aparición de grupos delincuenciales dedicados a la
violación de vulnerabilidades de sistemas informáticos, entre otras situaciones que están fuera
del control de las compañías.
Para entender mucho mejor este problema y lo que conlleva se pueden tener en cuenta casos
como el de JP Morgan que en 2012 sufrió el robo de la información de setenta y seis millones de
personas naturales y siete millones de pequeñas empresas a manos de un grupo de hackers; el
caso de un funcionario del British Home Office que decidió descargar la información de ochenta
y cuatro mil presos de una cárcel en Gales en una memoria flash para realizar un mantenimiento
sobre el servidor principal, la memoria se perdió; ya para culminar, en febrero de 2010 el
soldado de veintidós años Bradley Manning filtró a través del portal WikiLeaks (Propiedad de
Julián Assange) más de setecientos mil archivos confidenciales propiedad del gobierno
Estadounidense, exponiendo por completo temas de inteligencia de este gobierno.
Lo descrito anteriormente genera la obligación en las entidades de protegerse creando
políticas y protocolos para mitigar y gestionar los riesgos inherentes a los delitos informáticos,
esas políticas están enmarcadas dentro de las NIIF, tal como el principio de Negocio en Marcha
o continuidad que está descrito en el marco conceptual de la ley 1819 de 2016.
Es por esto que se considera este trabajo de suma importancia en el ejercicio cotidiano de la
contaduría pública en las empresas en Colombia.
1.1. Formulación Del Problema
¿Cómo se contabilizan los delitos informáticos bajo NIIF y que políticas contables
gestionan el riesgo de los mismos?
1.2. Sistematización Del Problema
¿Qué se define como delito informático en la legislación colombiana?
¿Cuántos delitos informáticos están tipificados y como se describe cada uno?
¿Cuáles NIIF están relacionadas con los delitos informáticos y por qué?
¿Cómo se definen y describen las técnicas utilizadas para cometer delitos informáticos y qué
políticas contables para la gestión del riesgo de estos, se pueden crear con base en ello?
¿Cómo se hacen los registros contables de cada uno de estos delitos, de los que la empresa
puede ser víctima o victimario?

2. OBJETIVO GENERAL
Formular parámetros para el manejo contable bajo las Normas Internacionales de Información
Financiera (NIIF) de los costos y gastos relacionados con delitos informáticos en las empresas.
2.1. Objetivos Específicos
 Describir los nombres y técnicas utilizadas para cometer delitos informáticos
 Definir y Clasificar según la Legislación Colombiana el concepto de delito y fraude
informático.
 Identificar los riesgos que se presentan según los delitos, fraudes y robos informáticos.
 Especificar la contabilización bajo normas NIIF de los delitos informáticos teniendo en
cuenta los costos y los gastos en los que se incurre.
 Formular parámetros para tener en cuenta en la creación de políticas contables para la
prevención y gestión de los delitos informáticos.
3. JUSTIFICACIÓN
Esta monografía analítica busca integrarse a otros trabajos investigativos
complementarios hechos por el grupo de investigación GISICAS, para desarrollar contenido
científico de interés general en el área contable y de esta manera desarrollar el conocimiento en
sus integrantes y a la universidad en general.
Con la utilización de los componentes tecnológicos en las diferentes dependencias de las
organizaciones, es importante que las empresas comprendan el entorno actual para poder diseñar
políticas que las protejan de los riesgos latentes de cometer o ser víctima de conductas
consideradas delitos informáticos.
También en cómo manejar su información y la de sus colaboradores con el propósito de evitar
conductas o acciones que la legislación considere como punibles, como por ejemplo la
confidencialidad de los datos personales de su nómina, de sus clientes y sus proveedores.
Las empresas deben tener el conocimiento de la contabilización de estas conductas, bajo los
parámetros contables actuales que son las Normas Internacionales de Información Financiera
(NIIF) esta necesidad de ese conocimiento, se funda en la exposición a los delitos informáticos,
esto por la obligación que actualmente tienen las empresas de utilizar las TIC en sus procesos,
actualmente la tendencia indica que la tecnología se está masificando y situaciones como
reconocimiento facial, teleconferencias, pagos en línea, envió y recepción de información,
ofimática, domótica, constituyen un desafío para las personas y organizaciones y una ventaja
para los que ya poseen el conocimiento y lo aprovechan contra la competencia.
En teoría la contabilidad debe plasmar la realidad económica de las empresas, el total de las
transacciones que ésta hace dentro o fuera de su domicilio, es una función que representa el
bienestar a los miembros de un estado, por tanto si no se registra todas estas transacciones estaría
incumpliendo su objetivo social y podría estar comprometido el bienestar de muchas personas,
comenzando por sus colaboradores puesto que no se tiene el dato de la realidad económica de la
empresa y en cualquier momento se podría comprometer su continuidad por falta de recursos,
perdida de información relevante, sanciones de los entes de control por omisión de información,
entre otras situaciones que no justifican el actuar del Departamento Contable, puesto que el
desconocimiento de una norma no es excusa para no cumplirla.

El desarrollo del presente trabajo constituye un análisis Jurídico y Contable, formando así un
complemento excelente para la consulta, dado que cobija la norma y como se plasma está en la
labor práctica de la Contaduría Pública.
El hecho que una empresa tenga una base de datos con la información personal de sus
colaboradores, sin su autorización sobre la utilización de esta, constituye un delito informático.
Duplicar esta información personal para fines distintos a los descritos en el contrato laboral o en
el oficio sobre autorización es otra conducta punible, esta violación se menciona, en primer
lugar, para demostrar la facilidad con la que se puede caer en infracciones descritas en el código
penal.
En Colombia se estableció la bancarización en el artículo 307 de la Ley 1819/2016 donde
obliga a las empresas a hacer sus transacciones monetarias a través de las entidades financieras,
utilizando herramientas como cheques, tarjetas débito o crédito, títulos valores y la más utilizada
que son las transferencias entre cuentas bancarias, enfrentando así a las entidades a formas de
fraude de los que puede ser víctima o victimario.
Los delitos informáticos están compuestos por diferentes modalidades de acción, que están
identificados y descritos en el código penal colombiano.
Los delitos informáticos son considerados por el estado como conductas que van en
detrimento de la propiedad privada, la honra y el bien común, estos delitos son: Estafa,
descubrimiento y revelación de secretos, delitos hacia la intimidad de menores y acoso,
amenazas y coacciones, falsificación documental, sabotaje informático, suplantación de
identidad, delitos contra la propiedad intelectual, entre otros. Los delitos informáticos tienen
distintas formas, como suplantar sitios legítimos por unos casi iguales y que tiene como objetivo
recolectar información mediante encuestas o supuestas actualizaciones, el secuestro de la
información mediante software que se apodera de un equipo o red informática, abuso de
confianza en los usuarios de una red informática, entre otras.
Se puede evidenciar que algunas prácticas que constituyen delitos informáticos tienen una alta
probabilidad de ocurrencia en las empresas modernas. Por esto, las organizaciones incluyen en
sus prioridades la creación de mecanismos para la gestión de riesgos asociados a la informática,
este es el contexto en el que se fundamenta este trabajo.
Debido a la potencial ocurrencia de estas situaciones en las empresas, se evidencia la
importancia del conocimiento para registrar en sus sistemas contables determinados delitos, que,
aunque se utilizó la informática para cometerlos, el concepto y la naturaleza del mismo hacen
que se tengan que registrar en partidas diferentes.
Los sistemas contables en las organizaciones son el mecanismo para plasmar la realidad de la
empresa en medios electrónicos que tienen hoy en día jurídicamente el mismo valor que los
físicos hace unos años, por tanto la ocurrencia de delitos informáticos hace parte de la realidad
de la compañía y por ende deben estar incluidos en su contabilidad; razón por la cual es
primordial que los colaboradores en el área contable y financiera tengan el conocimiento para
determinar la contabilización de los mismos.

5. MARCO DE REFERENCIA
5.1 Marco Histórico o Antecedentes
Este trabajo está enmarcado en el periodo de tiempo comprendido entre los años 2009 y 2019.
Esto se debe a que la ley marco sobre los delitos informáticos (Ley 1273) se decretó en 2009.
Se desarrolla, además, en el universo empresarial de Colombia en el que de la misma manera
y mediante el decreto 1819 de 2009 se reglamentó la adopción de las Normas Internacionales de
Información Financiera (NIIF). Esto con el fin de cumplir con los estándares de calidad en el
manejo de transacciones y presentación de los estados financieros.
Así bien, la DIAN estableció un criterio de medición para dividir el total de las empresas en
tres grandes grupos, de acuerdo con su similitud o diferencia, tamaño, número de trabajadores, si
están asociados con empresas extranjeras, si cotiza en bolsa de valores, si es una empresa de
interés público, entre otros factores.
Estos tres grandes grupos están obligados a la aplicación de las NIIF en una mayor o menor
proporción, el grupo uno que son empresas grandes, cotizan en bolsa de valores, está obligado a
acogerse al 100% de las NIIF, el grupo dos que abarca más del 90% de las empresas del país está
en un punto intermedio en la aplicación del total de las NIIF y finalmente el grupo tres solo debe
aplicar unas pocas NIIF:
Las características de los grupos son las siguientes:
Grupo 1:
 Son grandes y cotizan en bolsa de Valores.
 Empresas de interés público según decreto 4946 de 2011.
 Tienen activos totales igual o superior a treinta mil SMMLV.
 Ser sucursal o subordinada a una empresa extranjera.
 Ser importadora o que la mitad o más de sus ingresos provengan de exportaciones.

 Ser matriz, asociada o negocio conjunto de entidades extranjeras que apliquen
NIIF.
Según el decreto 2784 este grupo de empresas deben aplicar las NIIF plenas.
Grupo 2:
 Son empresas que no cumplen con los parámetros del grupo 1, no cotizan en bolsa
y no son de interés público.
 Tienen activos totales entre 500 y 30.000 SMMLV. Y tiene una nómina entre 11 y
200 trabajadores.
 Empresas que tengan 500 SMMLV en activos totales excluyendo la vivienda o
que cuentan con una planta de nómina de máximo 10 trabajadores y que en ambos
casos tengan ingresos anuales superiores a los 6000 SMMLV.
Estas empresas constituyen el 99% del total de las empresas industriales en el país, también se
les denomina PYMES (Pequeña y Mediana Empresa), el gobierno desarrollo un sistema
normativo contable menos complejo, es decir sin la totalidad de los estándares internacionales
denominado NIIF para Pymes, mediante el decreto 3022 de 2013.
Grupo 3:
En este último grupo pertenecen las siguientes empresas:
 Personas naturales o jurídicas que no son minoristas.
 No pertenecen al régimen simplificado del impuesto a las ventas.
 Que no sean usuarios aduaneros.

 Que los ingresos brutos anuales no superen los 3500 SMMLV.
 Condiciones del artículo 499 del Estatuto Tributario.
 Activos totales sin vivienda de hasta 500 SMMLV.
 Menos de 10 trabajadores.
 Que no tienen los requisitos para pertenecer al grupo dos.
Este grupo no está obligado a acogerse a las NIIF si no aplica las NIF (Normas de
Información Financiera) que son normas más abreviadas a la hora de emitir los estados
financieros y estado de revelaciones.
 Convenio Budapest sobre Ciberdelincuencia,2001 es un tratado firmado entre los
miembros de la unión europea que busca la cooperación entre sus firmantes para
combatir los delitos informáticos relacionados contra los derechos de los niños, las
finanzas de organizaciones y estados y contra el sabotaje a través de virus masificados.
En años recientes hubo países de otras latitudes fuera de la unión europea que se
adhirieron al tratado como México, Argentina y Brasil. [ CITATION OAS14 \l 9226 ]
 Hay países que crearon organismos específicos para combatir los delitos informáticos,
tales como: España donde esta función la cumple Instituto Nacional de Ciberseguridad
(INSIBE), en la Unión Europea está la Agencia Europea de Seguridad de las Redes y de
la Información (ENISA), Centro de Excelencia de la OTAN para la Ciberdefensa, Oficina
de las Naciones Unidas contra la Droga y el Delito (UNODC) que tiene una división
exclusivamente para combatir esta problemática mundial, a su vez también hay
iniciativas privadas sin ánimo de lucro, donde expertos se dedican a combatir este tipo de
problema y crean bibliografía o software libre para capacitar a cualquier persona de

manera optima la plataforma (ESCAPE) es una de las más conocidas.[ CITATION
IMF17 \l 9226 ]
 La Unión Internacional de telecomunicaciones (IEEE) en el año 2014 emitió con manual
elaborado con la colaboración de diferentes actores públicos y privados, en este manual
se especifican los campos a implementar y el impacto de las medidas para combatir el
delito informático, estos campos son los siguientes:
 Medidas legales ◦ Legislación penal ◦ Reglamentación y conformidad  Medidas
técnicas ◦ CERT-CIRT-CSIRT ◦ Normas ◦ Certificación  Medidas orgánicas ◦ Política
◦ Hoja de ruta para la gobernanza ◦ Organismo responsable ◦ Análisis comparativos
nacionales  Capacitación ◦ Desarrollo de la normalización ◦ Desarrollo de la mano de
obra ◦ Certificación profesional ◦ Certificación de los organismos  Cooperación ◦
Cooperación intraestatal ◦ Cooperación intraorganismos ◦ Colaboraciones público-
privadas ◦ Cooperación internacional. [ CITATION IEE19 \l 9226 ]
En Colombia existe una institución legalmente creada como entidad sin ánimo de lucro
llamada Red Colombiana de Investigación en Ciberseguridad (RedCIC), esta organización tiene
como objeto social distintas misiones entre las cuales: [ CITATION RED20 \l 9226 ]
a) Fortalecer los semilleros de investigación en seguridad de la Información, por
medio de la cualificación del talento humano en procesos de formación.
b) Acoger y estrechar lazos de cooperación entre los semilleros de investigación,
empresas, comunidades, personas naturales y organizaciones orientadas a la seguridad de la
información, que estén dedicados a la investigación, el desarrollo tecnológico, Innovación en el
área, sin ninguna discriminación.

c) Generar una cultura del conocimiento en las áreas de la seguridad de la información
para fomentar las buenas prácticas en el manejo seguro de los diferentes tipos de información.
d) Fomentar espacios de socialización de proyectos en las diferentes áreas de la seguridad
de la información.
e) Ofertar cursos de formación acerca de las nuevas tendencias en las áreas de la
Ciberseguridad.
f) Ser puente entre entidades públicas para ofertar procesos de capacitación a la
comunidad en general.
g) Ofrecer consultorías y/o acompañamientos a entidades públicas y privadas, para el
manejo adecuado y seguro de la información.
Esta organización maneja información técnica y estadística sobre la Ciberseguridad y el
ciberdelito, por lo que constituye una fuente confiable para citar cifras y conceptos de la realidad
colombiana frente a este flagelo.
El estado colombiano a través del ministerio de defensa tiene una división llamada Grupo
de Respuesta a Emergencia de Ciberseguridad en Colombia (ColCERT), donde se encargan de
informar sobre actualizaciones recomendadas por fabricantes para el mejor uso de las tecnologías
y adicional a ello crea grupos para enfrentar amenazas, también genera boletines sobre temas de
interés en Ciberseguridad de manera actual.[ CITATION Min16 \l 9226 ]

Las grandes compañías de software y hardware en sus páginas web publican artículos
sobre riesgos de sus equipos y la manera de enfrentarlos de forma eficaz para evitar la
propagación de estos archivos malignos.[ CITATION CIS19 \l 9226 ]
A nivel local la Ciberseguridad está dividida en privada y pública, el sector publico está
protegido por entidades gubernamentales centralizadas que implementan protocolos de seguridad
informática y periódicamente realiza auditorias, mientras que el sector privado está protegido por
proveedores de software especifico para las necesidades de cada organización.
5.2 Marco Teórico
Las Normas Internacionales de Información Financiera (NIIF son sus siglas en español –
IFRS son sus siglas en inglés) son un conjunto de normas contables emitidas por el Consejo de
Normas Internacionales de Contabilidad (IASB son sus siglas en inglés) con el fin de
estandarizar la aplicación de normas contables en el mundo y así lograr que sean globalmente
aceptadas, comprensibles y de la más alta calidad posible.
Las NIIF fueron acogidas en Colombia en el año 2009 mediante la ley 1314 y particularmente
este trabajo se enfocará en lo concerniente al tratamiento de los delitos informáticos, para ello se
destacan algunos términos relevantes tales como:
 Provisiones: son pasivos o activos de los cuales no se tiene certeza sobre su valor
o magnitud y tampoco sobre su fecha de realización, por tanto, es un pasivo
indeterminado.
 Contingencias: Son situaciones que al cierre de un periodo contable no son
ciertas, depende de hechos futuros o variables que la hacen cierta, ejemplo una
demanda, es contingencia porque depende de un veredicto de un juez.
 Sistema contable: es un conjunto de aplicaciones informáticas que tienen como fin
el llevar una contabilidad de manera electrónica y cumpliendo con los requisitos
legales y técnicos.
 Segregación de funciones: es un concepto administrativo que consiste en separar
funciones entre los colaboradores de una organización de tal manera que permita
implementar un control interno y evitar situaciones irregulares.
 Políticas Contables: son afirmaciones que diseña el gerente o director de una
empresa para aplicar a procesos contables de la misma, es una instrucción, una
política por tema y están enfocadas a cumplir normas, facilitar la administración y
a preservar la empresa a través del tiempo.
También se considera importante enunciar algunos términos legales contemplados en el
derecho penal colombiano:
 Delito: son acciones contrarias a la ley, están determinadas por esta como delitos
o hechos punibles y son condenadas de distintas formas como prisión, multas,
sanciones, entre otras.
 Actividades criminales informáticas: son acciones que abarcan robo, hurto,
fraude, falsificaciones, perjuicios, estafa, sabotajes, entre otros, utilizando la
informática para llevarlas a cabo.
 Condena: pena impuesta por un juez o tribunal.

 Pecuniaria. Es una cantidad de dinero que se debe pagar al estado como resultado
de haber cometido un delito o falta.
En el mismo sentido, es relevante contextualizar respecto a términos técnicos tenidos en
cuenta en la ley 1273 de 2009 y cuya comprensión será vital a la hora de leer este trabajo.
5.3 Marco Conceptual
 CONFIDENCIALIDAD: Que hace parte de los secretos de alguien y que su
divulgación es una falta si no se cuenta con la autorización del propietario de esa
información.
 CONTABILIZACION: es la acción de ingresar valores representativos a
transacciones de una organización en un sistema contable.
 DAÑO INFORMATICO: Es la interrupción del óptimo funcionamiento de un
sistema informático de manera intencional o sin intención.
 DELITO INFORMATICO: es una acción u omisión cometida por alguien en
perjuicio de un tercero mediante el uso de la ciencia informática.
 FRAUDE: fraude es apropiarse de algo tangible o intangible mediante engaño y
en perjuicio de un tercero.
 HARDWARE: son los elementos tangibles que tienen unas características
determinadas para tener una relación simbiótica con el software y poder funcionar
dentro de la ciencia de la informática.

 INFORMATICA: Es el conjunto de conocimientos que trata la información
mediante las computadoras (software y hardware).
 LEGISLACION: Conjunto de todas las leyes existentes en un territorio.
 LEY. Conjunto de preceptos denominados artículos que rigen un tema específico
en su conjunto y que son de obligatorio cumplimiento en un territorio sopena de
tener sanciones, son emitidas por un órgano legislativo del territorio.
 NIIF: Normas Internacionales de Información Financiera: Conjunto de Reglas
contables que rigen la contabilidad en Colombia y en otros países acogidos a las
mismas.
 PARAMETRO: es una guía para ejecutar una acción, detalla los pasos a seguir en
cada momento de dicha acción.
 PARTIDA: según NIIF una partida es sinónimo de Cuenta, es un conjunto que
compila valores que cumplen unos atributos comunes.
 POLITICA CONTABLE: es una directriz administrativa sobre la contabilización
de una transacción de una naturaleza particular y que está en sintonía sobre la ley
que rige la contabilidad (Ley 1314/2009).
 PROTOCOLO: es un conjunto de reglas que rigen un tema específico de cómo
hacer las cosas en ese particular.
 RED INFORMATICA: es una estructura interconectada de distintos dispositivos
como computadoras e información y que están comunicados lógicamente entre sí.
 RIESGOS: es un evento que cuando se produce puede afectar en mayor o menor
medida a una empresa.

 SISTEMA CONTABLE: es una aplicación informática que permite copilar las
transacciones que hace una organización dentro de unos códigos digitales y
generar informes, además de cumplir con las leyes que haya lugar.
 SISTEMA INFORMATICO: es un ambiente computacional que cumple unos
atributos y tienen una función específica, una aplicación, pero diferentes tareas
que se pueden realizar a través de este.
 SOFTWARE: es el conjunto de códigos matemáticos y lógicos que constituyen un
lenguaje informático y que hacen funcionar los dispositivos electrónicos.
 TECNICAS DE DELITO INFORMATICO: es el nombre que recibe un conjunto
de pasos que hacen un conjunto único y diferente a los demás para cometer delitos
informáticos.
 VICTIMA: tercero que fue perjudicado por un tercero que cometió una acción, la
cual la ley considera delito.
 VICTIMARIO O AUTOR: tercero que realiza una acción que la ley considera
delito.
5.4 Marco Legal
El trabajo debido a su temática penal y contable está regido por:
 Constitución Política de Colombia: Teniendo en cuenta que es la ley suprema y en ella
están soportados los códigos penal, civil y comercial que a su vez determinan la
jurisprudencia de lo legal y lo ético en las relaciones comerciales, civiles y conductas que
se consideran delitos.
 Código Penal Colombiano: Titulo VII “De La Protección De La Información y los
Datos” donde establece la descripción de los delitos y las penas a las que están expuestas
las personas naturales o jurídicas que incurran en ellos.
 Ley 599 del 2000 denominada “Normatividad Sobre Delitos Informáticos”
 Ley 1273 de 2009, rige actualmente el marco jurídico de los delitos informáticos, esta ley
contiene dos capítulos que enmarcan el universo de las conductas tipificado como delitos.
En el capítulo primero se encuentra lo concerniente a la protección de los datos, este
capítulo se llama “De los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos” y el segundo capítulo ya
considera los conceptos tratados en el marco teórico en el bloque tres y se denomina “De
los atentados informáticos y otras infracciones”.
 Ley 1314 de 2009, mediante la cual Colombia se acoge a las Normas internacionales de
Información Financiera (NIIF). Específicamente en el Marco Conceptual de esta ley
donde se expresan las concepciones aquí contenidas y además se describen los principios
de la contabilidad y el sustento de este trabajo ya que ayudan a cumplir los principios
como el negocio en marcha.
 Decreto 3023/ 2013 Mediante el cual se modifica parcialmente el marco conceptual de
las NIIF contenidas en la ley 1314/2009.
 CTCP (Consejo Técnico de la Contaduría Pública) y algunos conceptos emitidos por este
organismo que es el organismo encargado en Colombia de Traducir e interpretar las NIIF
en la realidad del mercado colombiano y adicional a ello emitir conceptos y aclarar dudas
sobre cuestiones contables.

6. FICHAS BIBLIOGRAFICAS
De Conceptos, Org. (14 de septiembre de 2017). De Conceptos, Org. Obtenido de
Conceptos, Web site: https://deconceptos.com/ciencias-sociales/empresa-de-servicio.
Temas:
Concepto de Empresa.
Concepto empresa y servicios informáticos.
Caballero, F. (4 de marzo de 2017). Economipedia Org. Obtenido de Economipedia Web
site: https://economipedia.com/definiciones/sector-terciario-servicios.html.
Temas:
Sectores Económicos y su dependencia informática.
Carbonel, J. (9 de marzo de 2019). El Universal, Corp. Obtenido de El universal, corp.:
https://www.eluniversal.com.co/opinion/buzon/empresas-prestadoras-de-servicios-publicos-
75345-PUEU158263.
Temas:
Tendencia de la ciberseguridad.
Concejo de Redacción de Siigo. (08 de 01 de 2018). SIIGO Software. Obtenido de SIIGO
Web Site: https://www.siigo.com/blog/contador/que-son-los-gastos-en-contabilidad/
Temas:
Gastos y Costos atribuibles al fraude informático.
Tipos de gastos en una empresa.
Clasificación de los gastos.
Diferencia entre costo y gasto en contabilidad.

Consejo Técnico de Contaduría Pública. (2010). Regulación y Normalización Contable.
Normas Aplicables a los activos, pasivos y Resultados. Bogotá: Consejo Técnico Contaduría
Pública.
Temas:
Proceso de convergencia con estándares internaciones de contabilidad e información
financiera de aceptación mundial - alcance del articulo 15 ley 13 - 14 del 2009 Pág. 1,5.
Contaduría General de la Nación. (2011). Manual de la IFAC 2011 para pronunciamientos
Internacionales del Sector Publico (Vol. Vol. 1 y Vol. 2). Bogotá: CGN.
Temas:
El papel de la federación internacional de contadores. Pág. 5
Costos en el sector público. Pág. 234
Deloitte. (3 de 12 de 2010). Resumen de las Normas Internacionales de Información
Financiera. Bogotá, Colombia. Obtenido de Deloitte Web Site:
http://deloitte.com/view/es_co/co/48185724a82fb110VgnVCM100000ba42f00aRCRD.htm
Temas:
Normas Internacionales información financiera.
Dr. Cartier, E. D. (1992). Teoría General del Costo. La Habana, Cuba: F.C.E.-U.B.A.
Temas:
Teoría general del costo. Pág. 4
Concepto de costo y su extensión. Pág. 5

Duque Roldan, M. &. (2013). Cuadernos de Contabilidad de la Universidad Javeriana. ¿El
proceso de convergencia en Colombia excluye la contabilidad de costos? Bogotá: Universidad
Javeriana.
Tema:
Progreso convergencia normas internacionales. Pág. 5
Gaitán, G. (29 de 09 de 2018). CR Consultores Colombia. Obtenido de CR Consultores
Colombia Web site: http://crconsultorescolombia.com/niif-reconocimiento-contable-de-gastos-
de-transporte.php
Temas:
Reconocimiento contable de gastos en NIIF.
Galán, J. (1 de junio de 2018). EAE Bussines School, U. Obtenido de EAE Bussines School,
U: https://economipedia.com/definiciones/servicio.html
Temas:
Concepto la informática en el ámbito económico.
García, C. (2000). Enfoque Multiparadigmático de la Contabilidad: Modelos, sistemas y
Practicas Deducibles para Diversos Contextos. Buenos Aires: Sección de Investigaciones
Contables. Doi: ISSN 1515-2340
Temas:
Naturaleza de la contabilidad. Pág. 14
Gómez, C. (1999). Costos en Entidades Prestadoras de Servicios. New York: INNIVAR,
Revista de ciencias administrativas y sociales. Doi: 24156-85753-1.
Temas:
Costos en entidades prestadoras de servicios y antecedentes. Pág. 1

La gestión y los costos. Pag.4
El estudio de los costos. Pág. 5
Grupo Redacción Gerencia. (22 de 09 de 2017). Gerencia Org. Obtenido de Gerencia Web
site:
https://www.gerencie.com/que-es-un-sistema-de-costos.html
Temas:
Que es un sistema.
Definición sistema de costos informáticos.
Elementos sistema de costos.
Denominación sistema.
Hansen, D. y. (2007). Administración de Costos, Contabilidad de Control. México:
Thomson.
Temas:
La contabilidad y los sistemas de administración. Pag.10
Costeo de situaciones irregulares inherentes a las organizaciones. Pag.10
Costeo de servicios. Pág. 180
Horngren C, D. S. (2006). Cost Accounting. New Yersey: Pearson Education.
Temas:
Costos, volumen y análisis de presupuesto. Pag.62
Keropyan, A. (18 de 10 de 2018). EAE Bussines School, U. Obtenido de EAE Bussines
School, U.: https://retos-directivos.eae.es/empresas-de-servicios-tipos-y-caracteristicas/
Temas:
Tipos empresas.
Características empresas.
Categorías empresas.
Diferencia entre empresa de servicios y Outsourcing.
Maya, D. (11 de 11 de 2011). Actualícese Corp. Obtenido de Actualícese Web Site:
https://actualicese.com/actualidad/2015/11/11/costos-y-gastos-diferencias-según-el-estandar-
internacional/
Temas:
Diferencias Costos y gastos según el estándar internacional (NIIF).
Reyes, G. (12 de 08 de 2017). Portafolio, Revista. Obtenido de Portafolio Web Site:
https://www.portafolio.co/ xpansió/colombiana-la-prevalencia-de-los-sectores-de-servicios-
508646
Temas:
Prevalencia de los sectores de servicios.
Rodríguez, A. &. (2015). Incae Business Review. Introducción a la Contabilidad de Costos
Alemana (GPK). Bogotá: Incae Business Review.
Tema:
Beneficios de un sistema de costeo GPK. Pag.5
Rodríguez, M. (27 de 11 de 2011). Expansión, Org. Obtenido de Expansión Web site:
http://www.expansion.com/blogs/en-el-ave/2011/11/27/la-economia-de-servicios-y-su-impacto-
en.html.
Tema:
La economía informática y su impacto en la formación.
Toro López, F. (2010). Costo ABC y Presupuesto. Buenos Aires: Ecoe Ediciones.
Temas:
Objetos del costo del software. Pag.6
Aplicaciones en el sector de servicios y distribución. Pag.73
Asignación de costos atribuibles al sistema de información. Pag.257
Vásquez, R. y. (2014). Aplicación por Primera vez de las NIIF. Bogotá: LEGIS. Doi: 978-
958-767-120-9
Ciber criminología: Guía para la Investigación del Crimen y Mejores Prácticas en
Seguridad Digital. Del año 2017, su autor Kyung, shick Choi y que trata sobre protocolos y
prácticas de seguridad en el uso de plataformas digitales.
Temas:
Estadística del Ciberdelitos Pág. 15
La importancia de la seguridad en las plataformas digitales Pág. 22
Deficiencias en las prácticas de Seguridad. Pág. 41
La relación de tiempo entre la seguridad y la vulnerabilidad informática. Pág. 64
Seguridad Informática Básica: año 2010 su autor Álvaro Gómez, en este libro trata
sobre una descripción detallada de los principales aspectos para tener en cuenta a la hora de
definir e implementar un sistema de gestión de la seguridad de la información.
Temas:
Introduccion a la seguridad informática Pág. 24
Medidas preventivas contra los riesgos externos en el uso de la tecnología. Pág. 35

Código Penal Colombiano, están contempladas las acciones que son consideradas
delitos informáticos.
De la Protección de la Información y de los datos, Titulo VII Pág. 287
Delitos, Penas y Agravantes en lo imputable mediante el uso de la informática Pág. 352
NIIF 21: Provisiones y Contingencias: norma que trata específicamente los conceptos
para la contabilización de los delitos informáticos. Y la presentación en los estados financieros
de la entidad que informa, la clasificación de las partidas involucradas en estos hechos punibles
como contingencias pasivas o activas, el reconocimiento contable, la medición al cierre del año
gravable, el tratamiento a través del tiempo y finalmente la contabilización cuando un juez
determina culpabilidad y sanción.
7. DESARROLLO DE LOS OBJETIVOS
MANEJO CONTABLE BAJO LAS NORMAS INTERNACIONALES DE
INFORMACIÓN FINANCIERA (NIIF) DE LOS COSTOS Y GASTOS
RELACIONADOS CON DELITOS INFORMÁTICOS EN LAS EMPRESAS.
La sociedad a través de la historia ha necesitado mecanismos que contribuyan a construir un
orden, dicha característica es relativa a la cultura, territorio o estado, es decir, este tiene variables
que lo componen, como la costumbre, la historia y el contexto de un determinado periodo de
tiempo, lo que lo hace un proceso dinámico.
El Estado a través de sus órganos administrativos, deben establecer un sistema de derecho u
orden constitucional y jurídico, que vaya en concordancia con su visión de territorio y que de la
misma manera brinden bienestar social, económico, cultural y además protejan los derechos
fundamentales de los habitantes dentro del mismo. En las sociedades contemporáneas ese
órgano estatal es el encargado de decretar leyes que son líneas conductuales en las distintas
aristas de la realidad de un país soberano, como el aspecto social, cultural, educativo, comercial,
administrativo y demás.
Dentro de los estados también hay personas, grupos de personas y organizaciones que están
en contra de ese orden, por distintos intereses y razones, por ejemplo, los anarquistas por su
ideología del caos y su creencia que el ser humano no necesita ser coaccionado, algunas personas
se ponen en contra por un fin económico o alguna otra ventaja que vaya en contravía del estado
de derecho.
Es por esto que es importante que el estado diseñe estrategias para sancionar a los que vayan
en contra de las prioridades del mismo, previniendo que las conductas delictivas se conviertan en
costumbres y se salgan de control. Para este propósito se ha creado el derecho penal, que es un
compendio de leyes que están unidas con otros códigos de leyes. En este contexto, en el derecho
comercial (para dar un ejemplo) se establecen las normas para funcionar en el aspecto económico
del país, sin embargo, una parte del código penal establece sanciones a situaciones del entorno
económico, por tanto, el derecho penal es el soporte coercitivo de los demás tipos de
legislaciones.
7.1 Definición Y Descripción De Delitos Informáticos En La Legislación Colombiana
El derecho en Colombia establece como delito la acción realizada de forma voluntaria o por
imprudencia que va en contra del derecho y la dignidad humana, la ley 599 de 2000 establece
que “Para que la conducta sea punible se requiere que sea típica, antijurídica y culpable. La
causalidad por sí sola no basta para la imputación jurídica del resultado.
Para que la conducta del inimputable sea punible se requiere que sea típica, antijurídica y se
constate la inexistencia de causales de ausencia de responsabilidad.”[CITATION Ley00 \l 9226
Una vez definido el concepto de delito y haberlo contextualizado en un estado y su
importancia para la implementación de un orden social en un territorio, se requiere
complementar este concepto con el de delito informático, entonces es necesario definir el
segundo término del macro concepto que se quiere establecer como el objetivo específico de este
trabajo.
Informática es una disciplina científica, porque está compuesta por un conjunto de
conocimientos de validez universal (comunicables y enseñables) y porque utiliza el método
científico para el logro de sus objetivos [ CITATION Her18 \l 9226 ].
En general se asocia a la informática con dos partes, una física y la otra lógica, la primera
(también denominada hardware) está compuesta por elementos tangibles tales como: cables,
discos duros, procesadores, entre otros, y tienen unas características eléctricas y electrónicas que
permiten procesar, transmitir y guardar información en diferentes formas; y la segunda parte es
la intangible (conocida como software) que es la información como tal, organizada en estructuras
lógicas. Esta tiene la ventaja de hacer cálculos a gran velocidad en comparación a la capacidad
humana, de la misma forma que almacena información en espacios reducidos y permite un
acceso rápido a la misma.

Así pues, un delito informático es una conducta descrita en el código penal como el uso de la
tecnología como herramienta para transgredir los derechos de terceros.
Aunque el código penal mediante el Titulo VII que anexó la ley 1273 no contienen un
concepto jurídico genérico para delito informático, si describe las conductas criminales clásicas
como estafa, robo, sustracción, daños a la honra y el buen nombre, entre otros. Pero en cuya
descripción se contempla la utilización de medios informáticos como herramienta principal para
cometer el ilícito.[ CITATION Ley09 \l 9226 ].
La siguiente tabla describe las conductas específicas que son consideradas como delitos
informáticos:
En ella se puede apreciar el articulo especifico por delito, la descripción de la conducta y
además la pena de cada uno, adicionalmente también se enuncian unos agravantes que hacen más
fuerte la pena, debido a que se contemplan abuso de confianza, mala fe, premeditación que son
situaciones que la legislación colombiana enmarca como culposas.
Tabla 0-1 Delitos informáticos código penal
DELITOS INFORMATICOS LEY 1273/2009
ARTICULO DENOMINACION DESCRIPCION SANCION

269ª ACCESO ABUSIVO A El ingresar sin permiso del dueño o De 48 a 96 meses de prisión y
UN SISTEMA responsable a un sistema o que teniendo multa entre 100 a 1000
INFORMATICO permiso se extralimite y substraiga SMLMV
información de este.
269B OBSTACULIZACIÓN El que, de manera ilegal, es decir, sin la De 48 a 96 meses de prisión y
ILEGITIMA DE autorización del legítimo dueño multa entre 100 a 1000
SISTEMA obstaculice el ingreso o maniobrabilidad SMLMV, Además se
INFORMÁTICO O RED de un sistema informático. anexarán otros delitos que
DE estén relacionados con esa
TELECOMUNICACIÓN obstaculización
.
269C INTERCEPTACIÓN DE El que sin una orden judicial intercepte Pena de prisión de treinta y
DATOS datos en su fuente, medio o recepción seis (36) a setenta y dos (72)
INFORMÁTICOS. final. meses.
269D DAÑO INFORMÁTICO El que, sin permiso, dañe, altere, Incurrirá en pena de prisión
modifique o someta a algún proceso de de cuarenta y ocho (48) a
cambio un sistema informático o la noventa y seis (96) meses y
información contenida en el mismo. en multa de 100 a 1000
salarios mínimos legales
mensuales vigentes.
269E USO DE SOFTWARE El que sin estar autorizado cree, Pena de prisión de cuarenta y
MALICIOSO. distribuya o utilice software malicioso, ocho (48) a noventa y seis
como virus, spyware, gusanos, troyanos (96) meses y en multa de 100
entre otros. a 1000 salarios mínimos
legales mensuales vigentes.
269F VIOLACIÓN DE El que, sin permiso, utilice para Pena de prisión de cuarenta y
DATOS PERSONALES. beneficio propio o de un tercero, datos ocho (48) a noventa y seis
de individuos sin la autorización de (96) meses y en multa de 100
estos, la obtención de estos datos a 1000 salarios mínimos
constituye un abuso, incluso legales mensuales vigentes.
empleadores que usen los datos de sus
colaboradores para fines diferentes al
establecido en el contrato laboral,
incurrirán en la violación de estos.
Fuente: autor original
Tabla 0-2 Delitos informáticos código penal continuación
DELITOS INFORMATICOS LEY 1273/2009
ARTICULO DENOMINACION DESCRIPCION SANCION

269G SUPLANTACIÓN DE El que sin permiso cree, venda, compre o Pena de prisión de
SITIOS WEB PARA ceda páginas web clonadas de entidades o cuarenta y ocho (48) a
CAPTURAR DATOS personas. Con el ánimo de cometer Phising noventa y seis (96) meses
PERSONALES u otra conducta descrita anteriormente, se le y en multa de 100 a 1000
considera suplantador así no haya puesto en salarios mínimos legales
acción ningún contacto con usuarios. mensuales vigentes,
siempre que la conducta
no constituya delito
sancionado con pena más
grave.
269H CIRCUNSTANCIAS Las penas imponibles de acuerdo con los artículos descritos en este título
DE AGRAVACIÓN se aumentarán de la mitad a las tres cuartas partes si la conducta se
PUNITIVA: cometiere: 1. Sobre redes o sistemas informáticos o de comunicaciones
estatales u oficiales o del sector financiero, nacionales o extranjeros. 2.
Por servidor público en ejercicio de sus funciones 3. Aprovechando la
confianza depositada por el poseedor de la información o por quien
tuviere un vínculo contractual con este. 4. Revelando o dando a conocer
el contenido de la información en perjuicio de otro. 5. Obteniendo
provecho para sí o para un tercero. 6. Con fines terroristas o generando
riesgo para la seguridad o defensa nacional. 7. Utilizando como
instrumento a un tercero de buena fe. 8. Si quien incurre en estas
conductas es el responsable de la administración, manejo o control de
dicha información, además se le impondrá hasta por tres años, la pena de
inhabilitación para el ejercicio de profesión relacionada con sistemas de
información procesada con equipos computacionales.•.
269I HURTO POR El que, superando medidas de seguridad incurrirá en las penas
MEDIOS informáticas, realice la conducta señalada señaladas en el artículo
INFORMÁTICOS y en el artículo 239 manipulando un sistema 240 de este Código
SEMEJANTES informático, una red de sistema electrónico,
telemático u otro medio semejante, o
suplantando a un usuario ante los sistemas
de autenticación y de autorización
establecidos,
269J TRANSFERENCIA NO El que transfiera de manera fraudulenta un Pena de prisión de
CONSENTIDA DE activo de un tercero, valiéndose de cuarenta y ocho (48) a
ACTIVOS herramientas informáticas a su beneficio o ciento veinte (120) meses
de un tercero, adicional a otras conductas y en multa de 200 a 1500
atribuibles al mismo, por ejemplo, el abuso salarios mínimos legales
de confianza de la víctima para obtener esos mensuales vigentes. Si la
datos que hicieron posible el daño. conducta descrita en los
dos incisos anteriores
tuviere una cuantía
superior a 200
salarios mínimos legales
mensuales, la sanción allí
señalada se incrementará
en la
mitad.
Fuente: Autor original
La ley 599 del año 2000 (Código Penal Colombiano) vigente y que durante el año 2009 se le
anexó el título VII BIS denominado “De la protección de la información y de los datos” sobre los
delitos informáticos es muy clara y específica en lo concerniente a los delitos informáticos por
tanto se cita de manera textual y posteriormente se hará un comparativo con las metodologías
informáticas para categorizar las distintas opciones descritas en el marco teórico.
Artículo 269a ACCESO ABUSIVO A UN SISTEMA INFORMATICO que consiste en
ingresar sin permiso del dueño o responsable a un sistema o que teniendo permiso se extralimite
y sustraiga información de este, la sanción para este delito es prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y una multa de entre cien (100) y mil (1000) SMMLV.
Articulo 269b OBSTACULIZACIÓN ILEGITIMA DE SISTEMA INFORMÁTICO O RED
DE TELECOMUNICACIÓN. Consiste en que, de manera ilegal, es decir, sin la autorización del
legítimo dueño se obstaculice el ingreso o maniobrabilidad de un sistema informático. La
sanción para este delito es prisión de cuarenta y ocho (48) a noventa y seis (96) meses y multa de
entre cien (100) y mil (1000) SMMLV.
Articulo 269c INTERCEPTACIÓN DE DATOS INFORMÁTICOS. Consiste en que, sin una
orden judicial, intercepte datos en su fuente, medio o recepción final. La sanción es de entre
treinta y seis (36) y setenta y do (72) meses de prisión.
Articulo 269d DAÑO INFORMATICO. Se refiere a que, sin permiso, se dañe, altere,
modifique o someta a algún proceso de cambio un sistema informático o la información
contenida en el mismo. La sanción es la prisión entre cuarenta y ocho (48) y noventa y seis (96)
meses y multa de entre cien (100) y mil (1000) SMMLV.

Articulo 269e USO DE SOFTWARE MALICIOSO. Consiste en crear, distribuir o utilizar
software malicioso, como virus, spyware, gusanos, troyanos entre otros. El que incurre en este
delito tiene penas de prisión de entre cuarenta y ocho (48) a noventa y seis (96) meses y multa de
entre cien (100) y mil (1000) SMMLV.
Articulo 269f VIOLACIÓN DE DATOS PERSONALES. Consiste en que, sin permiso, se
utilicen para beneficio propio o de un tercero, datos de individuos sin la autorización de estos, la
obtención de estos datos constituye un abuso, incluso empleadores que usen los datos de sus
colaboradores para fines diferentes al establecido en el contrato laboral, incurrirán en la violación
de estos. La sanción para este delito es de prisión entre cuarenta y ocho (48) a noventa y seis
(96) meses y multa de entre cien (100) y mil (1000) SMMLV.
Articulo 269g SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS
PERSONALES consiste en la diseñe, desarrolle, ejecute, trafique, envíe páginas web clonadas de
entidades o personas, enlaces o ventanas emergentes, con el ánimo de cometer Phishing u otra
conducta descrita anteriormente. Se le considera suplantador así no haya puesto en acción
ningún contacto con usuarios. La pena será de 48 y 96 meses y multas de 100 A 100 SMMLV
además de los daños a terceros en cuanto a la honra y el patrimonio.
Articulo 269h consiste en CIRCUNSTANCIAS DE AGRAVACIÓN PUNITIVA:
Básicamente, son agravantes que están relacionados con los delitos y que hacen que las penas
sean mayores ya que determina premeditación. El primer agravante es que el objeto del delito
sean redes o sistemas públicos de propiedad del estado; en segundo lugar, que el delito sea
realizado por un servidor público en ejercicio de sus funciones; tercero, que el delito sea
realizado aprovechando la confianza depositada por parte de la empresa o dueño legítimo del
sistema de información; cuatro, que se dé información en perjuicio de un tercero; quinto, que
mediante el delito, se obtenga beneficio para el infractor o un tercero; sexto, que se cometa el
delito con fines terroristas o generando riesgo en la seguridad nacional; séptimo, utilizando la
buena fe de un tercero; octavo, si el infractor es el responsable de la administración o seguridad
del sistema donde se cometió el delito, para este punto también está la sanción de no poder
ejercer cargos similares en el área de informática durante un periodo de tres (3) años.
Articulo 269i HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES, consiste en que,
superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239
manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio
semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización
establecidos, las sanciones son las del artículo 240 del código penal colombiano.
Articulo 269j TRANSFERENCIA NO CONSENTIDA DE ACTIVOS, consiste en que, de
manera fraudulenta, se transfiera un activo de un tercero, valiéndose de herramientas
informáticas a su beneficio o de un tercero, adicional a otras conductas atribuibles al mismo, por
ejemplo, el abuso de confianza de la víctima para obtener esos datos que hicieron posible el
daño. La sanción para este delito es de entre cuarenta y ocho (48) y ciento veinte (120) meses de
prisión y multa de entre cien (100) y mil (1000) SMMLV, además si el valor del activo
transferido es superior a doscientos (200) SMMLV la multa se aumenta en un cincuenta por
ciento (50%) adicional.
Con el propósito de contextualizar los delitos informáticos en el ambiente empresarial actual,
se citarán algunos ejemplos, en los que personas inescrupulosas defraudaron económicamente a

grandes organizaciones tales como entidades financieras, utilizando la informática como
herramienta para cometer el delito.
 En el año 2018, por motivo de las elecciones presidenciales en Colombia se
desarrolló un delito de Phishing el cual consistía en un correo electrónico enviado
de manera masiva a la población donde suplantando el remitente como la
Registradora Nacional del Estado Civil, alertaba al receptor sobre presuntas
multas por la no presentación como jurado de votación, al final del mensaje
aparecía un mensaje adjunto simulando ser un formato PDF siendo realmente un
código malicioso, que ocultaba la amenaza y así, al ejecutarse, obtenía los datos
personales contenidos en el equipo de la víctima, además también dañando el
sistema operativo.[ CITATION ESE18 \l 9226 ]
 Durante el año 2017 hubo una infección a nivel mundial de un virus llamado
WannaCry, que en español traduce “quiero llorar”. Se estima que afectó a unos
doscientos setenta mil (260.000) equipos en ciento setenta y nueve (179) países.
Colombia no fue ajena a este ataque, incluso el portal del ministerio de las TIC
fue afectado y tuvo que suspender sus servicios. También según declaraciones de
la SIJIN, hubo al menos veinte grandes empresas que fueron atacadas, las
autoridades abrieron un soporte online para gestionar, solucionar y denunciar los
ataques del WannaCry. Este virus tenía forma de ransomware, es decir, se
apoderaba de los equipos informáticos y solicitaba dinero a través de plataformas
de criptomonedas como pago por el restablecimiento de los sistemas de
información afectados.[CITATION COL \l 9226 ]

 En una empresa farmacéutica, se registró que uno de sus informáticos al ser
despedido, dejó en el sistema informático a su cargo una bomba lógica que se
activaría un año después de su desvinculación laboral. El empleado pensó que al
poner esa fecha ninguna sospecha recaería sobre él. La bomba consistía en dañar
el servidor central de la empresa, del mismo partían ciento sesenta servidores
adicionales a centros de costo, por lo que el daño sería significativo desde el punto
de vista operativo y financiero, las declaraciones del antiguo funcionario
describieron su inconformidad con el despido. Las autoridades lo hallaron
responsable del delito informático y recibió una condena la cual fue removida
debido a que la bomba lógica no logro su cometido pues se descubrió antes de que
se cumpliera la fecha de ejecución. [ CITATION Dub09 \l 9226 ]
 La compañía en ciberseguridad RCA revelo que durante el año 2017 en
Colombia, se registraron veintisiete mil ataques informáticos contra entidades
financieras como Bancos y Cooperativas de ahorro y crédito en el país, estos
ataques dejaron como saldo una pérdida de aproximadamente seis millones de
dólares y representó casi el cinco por ciento del total hurtado en el mundo
mediante esta modalidad, según la firma citada anteriormente, cinco de cada seis
ataques corresponden a suplantación de identidad, para este caso particular los
bancos y las nuevas tecnologías apuntan al reemplazo de contraseñas
alfanuméricas con los sistemas biométricos tales como huellas digitales,
reconocimiento facial, lectura de iris. Esto es facilitado en gran medida por el
desarrollo de los teléfonos celulares actualmente encontrados en el mercado.
[ CITATION Ola18 \l 9226 ]

 Durante el año 2017 según la SIJIN, los delitos informáticos aumentaron en un
veintiocho por ciento. Apareció además una nueva modalidad de daño a terceros,
especialmente niños, como es el caso del reto de la ballena azul, que nació en
Rusia y se esparció por todo el mundo. Este consistía en plantear retos que
atentaban contra la integridad física y psicológica hasta llegar finalmente al
suicidio, en el país se registraron quinientas ocho alertas sobre este reto. Así
también, la estafa y la suplantación siguen con tendencia al aumento de casos en
los últimos años, la creación de modelos de negocio tipo pirámide como la
recordada DMG se ha implementado en distintas ciudades utilizando las monedas
virtuales, se desmantelaron treinta organizaciones dedicadas a estos delitos y la
pornografía infantil sigue victimizando niños.[ CITATION Sem17 \l 9226 ]
 En Colombia se detectó una metodología de robo mediante una técnica
denominada salami que consiste en sustraer pequeñas cantidades de dinero de
muchos usuarios para no ser detectados, específicamente se trata de poner
“skimmers” o lectores de bandas magnéticas y chip de tarjetas de crédito o débito,
enviarlos a través de la red a un centro donde se procesa esta información y se
hacen transacciones con esos datos, ya sea a distintas cuentas o a cajeros
automáticos. [ CITATION hot10 \l 9226 ]
 El 25 de marzo del año 2017, en una sucursal de un banco en la ciudad de Bogotá,
la directora de dicho establecimiento ingresó mediante una USB un Malware, que
permitía violar la seguridad del banco y acceder a las bases de datos de los
usuarios de esa entidad, posteriormente a través de la complicidad de titulares de
cuentas ubicadas en otras tres ciudades, realizaba transferencias que ascendieron a

la cantidad de setecientos millones de pesos, posteriormente estos titulares
confirmaban la operación y retiraban sumas a cambio de una comisión que iba
entre los veinte y los treinta millones de pesos. El CTI logró desarticular la red
criminal compuesta por veintidós personas.[ CITATION Fis17 \l 9226 ]
 Durante el año 2014 se materializó un robo al banco BBVA de mil veinticuatro
millones de pesos. Todo se dio por un experto en seguridad informática, que
incluso años atrás había trabajado para la SIJIN en la misma área y que tras su
renuncia laboró en distintas entidades financieras en las que era promovido
gracias a su experiencia y conocimiento. Esta persona fue vinculada al BBVA
para un cargo en el que manejaba más de mil cajeros electrónicos en el territorio
nacional con un sistema operativo remoto. A través de este y con ayuda de
malware, desbloqueó el seguro de monto máximo de retiro en estos artefactos,
además eliminó el registro informático y fílmico de las transacciones. Con la
complicidad de varias personas que retiraban el dinero, logró extraer la cifra
inicialmente citada. En su defensa, expuso que fue presionado bajo amenaza de
atentar contra su vida y la de su hermana, versión que desestimó la fiscalía. Los
implicados enfrentaron un proceso judicial en su contra y el banco modificó sus
protocolos de seguridad para brindar una mayor seguridad a sus clientes.
[ CITATION Lav14 \l 9226 ]
Los sistemas de seguridad informáticos de los bancos suelen ser de los más eficientes del
mundo, sin embargo, las fallas se evidencian en: la ética de sus colaboradores; en la mala
definición de los procedimientos para hacer trasferencias, autorizar pagos de cheques y compras
con tarjetas por medios electrónicos; el aprovechamiento de los empleados con acceso
privilegiado al sistema de información para la sustracción recursos de terceros; entre otros
factores asociados a la gestión humana. Para poder llevar a cabo delitos informáticos en
entidades financieras se requiere, generalmente, la participación de varias personas, esto se debe
a la logística que requiere cometer un delito contra sistemas de seguridad robustos. A las
personas implicadas en estos delitos se les acusa penalmente por concierto para delinquir. Es por
esta razón que en la mayoría de los robos que se hacen a las entidades financieras, los titulares de
los productos defraudados son inocentes, por tanto, cabe señalar que la corte suprema de justicia
ya ha fallado protegiendo los derechos de los clientes de los bancos exonerándolos de la
responsabilidad por estas acciones y, en estos casos, el banco debe probar la culpabilidad del
usuario. Así pues, el banco debe responder económicamente con una suma igual a la sustraída a
la persona natural o jurídica para reparar el daño en la menor brevedad posible.[ CITATION
Cor15 \l 9226 ]
Desde la ciencia de la informática las técnicas, su nombre y descripción para la comisión
de delitos informáticos son los siguientes:
 Adware: es un programa que masifica publicidad mediante el uso de ventanas
emergentes, esta publicidad financia el Adware y adicional a ello se tiene un
algoritmo que permite recopilar información sobre la visualización de estos
anuncios por parte del usuario, para generar estudios de consumo y poder diseñar
estrategias para generar una publicidad más certera.
 Backdoor: en principio se refiere a una puerta trasera, es una función del código
de programación que permite entrar a un software en caso de emergencia, es decir
si se bloquea, desconfigura, es atacado por un virus o Ransomware, sin embargo,

también genera el riesgo de que los hackers descubran esta puerta trasera y
accedan a la información.
 Bomba Lógica: es un programa que se instala en equipos informáticos a espera
que suceda un evento especifico que está escrito en sus líneas de programación,
como una hora exacta, una tecla específica, entre otras, al producirse esta
circunstancia la bomba se activa generando acciones programadas, tales como
trasferencias bancarias, eliminación de información del HDD o SDD, entre
muchos otros.
 Cracker: personas que tienen un alto conocimiento de informática que se dedican
a cometer delitos informáticos mediante la utilización de las conductas enunciadas
anteriormente.
 Crimeware: se le conoce así al software que tiene como fin el beneficio
económico mediante el fraude, acceso a información de manera ilegal entre otros.
 Dialer: es un programa que hace que se modifiquen los datos para acceder a la
web desde el equipo en que se instaló, solamente es delito cuando no se le informa
al usuario sobre la instalación del mismo, el objetivo de esta es que las personas
que tienen acceso al equipo paguen unos sobrecostos por servicios de llamadas o
navegación, estos recursos son el botín del dueño del Dealer.
 Exploit: es un programa que tiene como fin escanear las fallas de seguridad de
otros programas para acceder a estos y hacer algo específico, como borrar u hurtar
información, controlar el programa defectuoso, etc.

 Flood and Flooder: es un programa que envía grandes volúmenes de información
en forma de correos electrónicos y que tiene como fin colapsar los sistemas de
información debido a la saturación de mails.
 Gusano: gusanos son programas que se duplican
por sí mismos y se propagan masivamente por la red para funcionar sin la
necesidad de un operador o usuario, su objetivo es contaminar el mayor número
de pc y el daño que ocasiona es diverso depende de la programación de cada uno
de los mismos.
 Hacker: es una persona que tiene vastos
conocimientos de informática y que se dedica a la práctica de conductas ilegales
mediante el uso de sus conocimientos, tales como robar información o robar
recursos, dependiendo de sus intenciones se dividen en:
 “White Hat”: son los hackers que se dedican a
buscar vulnerabilidades en redes o sistemas para solucionarlos, sacando beneficio
económico asesorando a los dueños de las redes o sistemas y eliminado esas
fallas,
 “Black Hat” o “Cracker”: es el hacker que
utiliza sus conocimientos de manera irregular buscando hurtar información y
recursos transables.
 Hijacking: Es el conjunto de técnicas o
mecanismos que se utilizan para secuestrar URL, conexiones, dominios IP y
cualquier equipo privado de manera ilegal.

 Hoax: es un mensaje de texto que se difunde de
manera masiva donde utilizan información extraordinaria como premios de
loterías, testamentos, noticias falsas y además se pide reenviarlo a todos los
contactos para posteriormente enviar otros correos donde están adjuntados virus,
Ransomware y otros programas que dañan los sistemas.
 Keylogger: es un programa que se sube a un
equipo específico y lo que hace es hacer unos archivos donde se puede visualizar
las combinaciones de teclas presionadas con el objetivo de robar usuarios y
contraseñas de todas las cuentas y aplicaciones del usuario de este.
 Malware: se le llama con este nombre a el
conjunto de programas que tienen como fin usurpar, sustraer, dañar o cometer
fraude ingresando a equipos y programas violando permisos y autorizaciones de
manera ilegal.
 Pharming: es la técnica mediante la cual se engaña
a usuarios creando enlaces a sitios clonados de los que habitualmente se utilizan,
por ejemplo, a páginas Web de bancos. El objetivo básicamente es solicitar la
mayor cantidad de información de la víctima del Pharming para posteriormente
estafarla o sobornarla con el fin de recibir un beneficio económico.
 Phising: es la técnica que consiste en enviar
correos falsos de entidades de confianza tales como bancos, tiendas, entre otros,
solicitando información general por actualización de datos, cambios de
contraseña, razones de seguridad y otros similares, para posteriormente con esos

datos cometer estafas y suplantaciones. De esta manera realizar transacciones
donde se apropian de los recursos de las víctimas.
 Scam o Phishing laboral: es una técnica parecida
al phishing con la diferencia de ofrecer empleos con atractivos salarios y
condiciones, una vez la victima ha enviado el currículo solicitan información
adicional para obtener datos financieros y así cometer el ilícito.
 Smishing: es la misma técnica del phising
solamente que se hace a través de mensajes de texto a los teléfonos celulares.
 Spam: se refiere al envío masivo de mensajes
publicitarios en distintas plataformas como correos electrónicos, foros, páginas
web, detrás del mensaje spam hay motores para recopilar bases de datos, buscar
direcciones, listas de correos y todo tipo de información que se pueda
comercializar o usar para distintos fines.
 Spear phising: es una variable del phising donde
los mensajes enviados son personalizados para el receptor y este pueda ser
engañado más fácilmente por tanto el phising sea más efectivo.
 Spyware: se trata de un programa que recopila
toda la información del usuario donde se instala, como sitios que visitó, correos
que envió o revisó, historiales, conversaciones de plataformas como Messenger o
WhatsApp web, entre otras, generalmente es utilizado por personas conocidas al
usuario como la pareja o en sitios de trabajo para tener más control sobre el uso de
los equipos de trabajo en el entorno laboral.

 Troyano: es una analogía a la historia griega
donde se ingresó un supuesto caballo de madera y dentro había guerreros, así
mismo es un programa que aparentemente tiene una noble función a los ojos del
usuario, pero internamente está buscando apoderarse del control del equipo y de la
información, los troyanos no se pueden replicar a sí mismos.
 Virus: son códigos informáticos que se replican a
sí mismos y que tienen como fin infectar la mayor cantidad de equipos
informáticos con el propósito de producir diferentes daños, generalmente están
adjuntos a correos electrónicos, spam, páginas web, descarga de archivos.
 Vishing: es la combinación de phising ya que se
envían correos electrónicos alarmando al receptor sobre un asunto como por
ejemplo unas contraseñas de un banco y ponen un número telefónico para
solucionar el impase, cuando el usuario llama a este número el delincuente
termina el engaño solicitando toda la información necesaria para lograr el
cometido del usurpador.
7.2. Riegos Que Se Presentan En Las Empresas Según Los Delitos Informáticos.
En la actualidad, tanto las empresas como las personas utilizan los sistemas de información
digital como plataforma de comunicación, comercio, administración, entre otras actividades.
Esto, sin ninguna duda, implica riesgos que son inherentes a la tecnología y que deben ser
mitigados en la medida de lo posible.

El riesgo para un sistema informático es: La estimación de la exposición a que una amenaza a
su seguridad se materialice causando daños a la organización.
En concreto para el sector empresarial, existen unas características que los sistemas de
información deben cumplir como mínimo para garantizar el correcto funcionamiento de las
actividades diarias, en este sentido las características son:
- Disponibilidad, que implica que el sistema de información esté disponible el
tiempo que es requerido.
- Confidencialidad, que se refiere a la característica en la que el sistema de
información debe estar disponible para las personas indicadas exclusivamente y
así se evite el acceso a personas no autorizadas.
- Integridad, que indica que los sistemas entregan información clara, confiable,
completa y sin modificaciones mal intencionadas.
Para hablar de los riesgos de las empresas es muy importante tener en cuenta estos tres
conceptos básicos, sin embargo, algunas metodologías de gestión de riesgos de seguridad de la
información incluyen la autenticidad como una característica importante y se define como la
propiedad que permite identificar al autor de la creación, así como de los cambios realizados en
los sistemas de información, esto con el objetivo de realizar un posible rastreo de acciones
delictivas. Para este caso, se considera que esta característica está implícita en la integridad.
La identificación de riesgos asociados a los delitos informáticos es un proceso sumamente
complejo y conlleva la ejecución de una serie de pasos en un proceso iterativo basado en el ciclo
PHVA (Planear, Hacer, Verificar y Actuar) en el cual se deberían realizar las siguientes
actividades:
 Definir los activos de información (que se refiere a los sistemas de información que la
empresa tiene) y clasificarlos en tipos de activos, por ejemplo: Activos Esenciales que se
refiere a la información que se maneja y al servicio que esta presta, datos personales que
son los datos de personas (usuarios, clientes, etc.), arquitectura del sistema que es la
definición de la construcción del sistema informático y sus relaciones con otros, datos
que se refiere a la información es estado puro y almacenada de alguna manera (bases de
datos relacionales, datamart, etc.), claves criptográficas que son para proteger
información, software que se refiere a las aplicaciones y su código, equipos informáticos,
redes de comunicaciones, soportes de información (back ups, cintas, entre otros), equipos
auxiliares (plantas eléctricas, UPS, etc.), instalaciones (edificio, datacenter, etc.)
 Dimensionar el valor que tiene para la compañía cada activo de información, tratando
siempre de llegar a una cuantificación.
 Identificar los criterios de valoración de estos activos (Hay más valor en el sistema de
información de clientes que en el sistema de formación virtual dada la criticidad de la
información que se maneja).
 Determinar las amenazas para cada activo de información.
 Considerar las salvaguardas (estrategias o métodos de protección) para proteger los
activos.
En este contexto se enunciarán los riesgos relacionados a los delitos informáticos:

 Fallos de servicios de comunicación, que afectan la disponibilidad y que pueden ser
causados deliberadamente.
 Interrupción de servicios o suministros, que se refiere a la posibilidad de que se altere,
por ejemplo, el aire acondicionado donde están los servidores o se sustraiga el
combustible de la planta eléctrica, afectando así la disponibilidad.
 Daño a los soportes de almacenamiento de la información, que básicamente indica que de
manera deliberada se elimina información o dañan las bases de datos, afectando así la
disponibilidad.
 Manipulación de configuración, se liga a la posibilidad de que de manera deliberada se
realicen configuraciones erradas en los sistemas informáticos con el fin de causar daños a
la organización, afectando así la integridad.
 Mala definición de funciones: es uno de los riesgos más típicos ya que implica que ya que
no se tiene una jerarquía adecuada, la información no es exclusiva para las áreas
adecuadas, afectando confidencialidad.
 Difusión de software dañino: es la propagación inocente o deliberada de software
malicioso dentro de la organización, este es otro de los riesgos más comunes, y puede
afectar tanto la disponibilidad como la integridad y la confidencialidad.
 Fuga de información: se refiere a la posibilidad de que accidentalmente o de manera
intencional se entregue información confidencial a personas que no deberían tener acceso
a la misma, de esta manera se afecta la confidencialidad.
 Alteración y destrucción de información: aplica para el acto deliberado o no, de alterar o
borrar información trascendental para el negocio afectando la integridad del sistema
informático, así como la disponibilidad.

 Vulnerabilidades en el Software, que implica que por defectos en el código de las
aplicaciones exista una operación defectuosa o se encuentren puertas traseras explotables
por parte de ciberdelincuentes, se puede afectar tanto la disponibilidad como la integridad
y la confidencialidad.
 Errores de mantenimiento y actualización de software: habla de defectos en los procesos
de mantenimiento y actualización que permiten que persistan fallas asociadas al código
del software que pueden ser utilizados por inescrupulosos, esto puede afectar tanto la
disponibilidad como la integridad y la confidencialidad.
 Errores de mantenimiento y actualización de hardware: Trata sobre inconvenientes
encontrados en los procedimientos de actualización y mantenimiento de los equipos
evitando la obsolescencia. Estas fallas pueden afectar de manera intencional la
disponibilidad y la recuperación del servicio para la organización puede tardar un tiempo
considerable, se puede ver afectada tanto la disponibilidad como la integridad.
 Robo de equipos: Otro de los riesgos más comunes, ya que incluye el robo de equipos
portátiles, celulares y tabletas de empleados, generando además la posible fuga de
información esto afecta la confidencialidad de la información.
 Manipulación de los registros, que se refiere a la posibilidad de que se elimine el rastro
de las acciones realizadas en el sistema de información, afectando la confidencialidad.
 Suplantación de identidad de usuario: Es la posibilidad que un delincuente se logre
identificar en el sistema informático como un usuario y acceda a los privilegios de este.
Este riesgo puede generarse por una persona tanto interna como externa a la
organización. Esto implica que se pueda estar afectando la confidencialidad de la
información, así como la integridad.

 Abuso de privilegios, que habla de cuando un empleado abusa de los privilegios que tiene
en el sistema informático para realizar actividades que no son de su competencia,
afectando la confidencialidad.
 Uso no previsto: Se refiere a la posibilidad de que un empleado utilice los equipos de
cómputo para realizar actividades ajenas a los intereses de la organización, esto puede
conllevar a la instalación de aplicaciones externas y por ende a la propagación de
software malicioso, afectando la disponibilidad, la integridad y la confidencialidad según
el software que se instale.
 Acceso no autorizado: Es cuando el ciber delincuente accede al sistema informático sin
autorización. Esto se da normalmente explotando vulnerabilidades en las aplicaciones,
afectando la confidencialidad de la información, así como la integridad.
 Interceptación: El ciber delincuente accede a la información sin alterarla, afectando la
confidencialidad.
 Manipulación de software: Se refiere a la acción deliberada de modificar el código de los
sistemas de información persiguiendo un beneficio propio cuando una persona autorizada
utiliza este, afectando así la disponibilidad, la integridad y la confidencialidad según el
software que se instale.
 Manipulación de hardware, que es igual a la manipulación de software, pero alterando los
equipos. Esto podría conllevar afectaciones a la disponibilidad, la integridad y la
confidencialidad.
 Ataque destructivo, que trata los temas referentes a vandalismo, terrorismo, acción
militar, asonadas, entre otros, que causen la destrucción de equipos de cómputo. Este
tipo de ataques conllevas afectación para la disponibilidad.

 Extorsión, que aplica para presiones a los empleados mediante amenazas para que realice
acciones indebidas sobre los sistemas de información. Esto podría afectar tanto la
disponibilidad como la integridad y la confidencialidad.
 Ingeniería social: Es la práctica de obtener información confidencial de usuarios de los
sistemas de información mediante distintas técnicas de manipulación y engaño. Este
riesgo explota a los usuarios considerándolos el componente débil de los sistemas de
información. Según el perfil del usuario de afectaría tanto la disponibilidad como la
integridad y la confidencialidad.
En el contexto colombiano, también se puede hacer un análisis de la materialización de
los riesgos en forma de ciberdelitos. Para ello se tienen las siguientes gráficas:
Ilustración 1 Distribución Ciberdelitos 2018 En Colombia

(Fuente: Ágora Consultorías y Estadísticas)
En la gráfica No.1. se puede apreciar que el acceso abusivo a los medios informáticos es el
ciberdelito predominante al estar presente en sesenta de cada cien casos en el año 2018. Esto
implica que las compañías requieren reforzar las medidas de control interno creando mecanismos
que prevengan este tipo de conductas, así como la implementación de métodos de control en las
diferentes plataformas tecnológicas.
En el siguiente renglón tenemos la interceptación de datos y la obstaculización de sistemas
informáticos entre ambas representando treinta de cada cien casos. Para este tipo de delito la
solución es tal vez un poco menos compleja, ya que se requiere implementar de manera adecuada
protocolos de seguridad más fuertes en lo concerniente al uso de las redes, así como en la
actualización de los sistemas operativos, esto se logra al mantener una comunicación constante
con los proveedores de las distintas tecnologías que se usen en la organización.
Ilustración 2: Distribución De Victimas Delitos Informáticos En Colombia 2018

(Fuente: Ágora Consultoría y Estadísticas)
En la gráfica No 2 se puede evidenciar que las personas naturales son las principales víctimas
de los delitos informáticos, representando el sesenta y seis por ciento. Sin embargo, las
organizaciones representan el cuarenta y cuatro por ciento, siendo el sector financiero el objetivo
preferido por los ciberdelincuentes.
De las dos gráficas podemos inferir que las personas son el eslabón débil de la cadena en lo
que a seguridad informática se refiere, esto se puede decir basado en que las personas son las
principales víctimas de los ciberdelitos y que en las empresas el acceso abusivo a medios
informáticos es el ciberdelito más común.

7.3. Contabilización Bajo NIIF De Los Delitos Informáticos Teniendo En Cuenta
Los Costos y Los Gastos En Los Que Se Incurre
En las NIIF se hace referencia a parámetros para la contabilización de los delitos informáticos
y se debe complementar con la norma tributaria, esto teniendo en cuenta que existe la necesidad
de determinar si algunas provisiones, que más adelante se especificara su naturaleza, son
descontables del impuesto de renta, debido a que estos son gastos en los que incurre la
organización y en el estado de resultados una vez cumpla las exigencias de las normas para estar
en esas partidas, constituyen un deducible para la utilidad del ejercicio, o si por el contrario
recursos que ingresaron a la entidad en el año gravable son el resultado de periodos contables
anteriores.
Las NIIF (Normas Internacionales de Información Financiera) son normas o principios
financieros y contables que son de obligatorio cumplimiento en países que están implementadas,
estas normas son a nivel internacional y se manifiestan en los estados financieros y sistemas
contables de las personas naturales o jurídicas que llevan contabilidad, en Colombia se acogieron
mediante la ley 1314 del año 2009 y su obligatorio cumplimiento empezó a regir desde el 31 de
diciembre del año 2015,
Las NIIF son principios generales constituidos por parámetros para la clasificación de las
transacciones dentro de un sistema contable, también es importante señalar que son adaptativas
para permitir a las organizaciones moldearlas de acuerdo a sus necesidades contables, pero
cumpliendo unos principios que ayudan a que hayan atributos como homogeneidad y
comparabilidad entre periodos de una misma empresa y entre distintas empresas sin importar el
país al que pertenezcan, siempre y cuando estén acogidos a las NIIF.

La sección 2 de NIIF para pymes conceptúa el pasivo como un hecho pasado que origina en
un futuro un desprendimiento de beneficios económicos en la entidad, bajo este concepto están
enmarcados los delitos informáticos cometidos por la entidad o sus funcionarios y que en un
futuro pueda aplicarse acción de replicación con el directo responsable.
En el módulo 21 de la sección 2 de las NIIF para pymes habla sobre las provisiones y
contingencias, es un hecho en particular que está sujeto a la incertidumbre, sobre la cuantía y el
tiempo en que ese pasivo por contingencia será exigido a la organización, por tanto se debe tener
una política para evaluarlo y contar con el apoyo de un experto de acuerdo a la naturaleza de la
contingencia para poder cuantificarlo, por ejemplo: si es un pleito legal donde la empresa es la
demandada entonces será un profesional en derecho quien sea la persona idónea para calcular la
cuantía, el tiempo y el desenlace del proceso judicial, sin embargo no es un cálculo exacto, por lo
que la norma determina que se debe poner en el estado de revelaciones explicando el proceso y
el estado del proceso, ya que constituye una información relevante para los stakeholders. Los
pasivos contingentes no se revelan en el Estado de Situación Financiera.
Igualmente esta sección 2 determina los activos contingentes que son posibles beneficios
económicos generados por un hecho pasado y que no tienen la certidumbre, la cuantía, la
seguridad y un periodo determinado de hacerse efectivo, la medición de estos activos
contingentes igualmente se hacen con base en políticas con parámetros para medirlos y
protocolos específicos para tal fin, la empresa además debe también acudir a peritos en
determinados casos dependiendo la naturaleza de la contingencia, deben estar expresados en las
revelaciones siendo muy ilustrativo y en algunos casos también provisionados en los otros
estados financieros para medir el impacto en el tiempo.

Tanto para el pasivo como el activo contingente existe un paso para ser reconocido y sin el
mismo la contabilización carece de soporte, esta condición en cuanto a los delitos contables es la
respectiva denuncia, como demandante en los activos contingentes y como demandada en los
pasivos contingentes, este tipo de denuncias siempre van acompañadas de una valoración de los
perjuicios ocasionados a terceros o que terceros ocasionaron a la entidad.
En la contabilización bajo las NIIF es importante ver un caso representativo y estudiar las
variables para determinar cómo serían sus asientos en un sistema contable.
La empresa ABC fue víctima de un delito informático, específicamente phishing, por el cual
capturaron sus usuarios y contraseñas para ingresar a sus cuentas de banco, esta situación le
produjo una pérdida de ochenta millones de pesos a la organización.
En este punto la empresa no puede hacer ningún asiento contable ya que no se tiene la
información completa, es decir se desconoce el autor del delito para hacer una denuncia.
Una vez exista un tercero del cual se le atribuya el delito se puede hacer el asiento, aunque
existe una sentencia de la corte suprema de justicia que obliga a las entidades financieras a pagar
los montos hurtados mediante la modalidad de delito informático y sobre estas entidades cae la
responsabilidad de probar la culpabilidad del usuario cuenta habiente.
Una vez identificado el problema y exista un proceso jurídico para el mismo la entidad puede
hacer el registro de la perdida de los recursos. Pueden existir más de una situación o forma de
hacerlo.
a) La empresa puso la denuncia y el departamento jurídico indica que la probabilidad
de tener esos recursos de vuelta es alta y que además se le pueden atribuir los
gastos incurridos para el proceso, así:
Tabla 0- 3 Contabilización NIIF cuando se es victima
CUENTA DEBE HABER
BANCOS 80.000.000
ACTIVO CONTIGENTE 80.000.000
El activo contingente debe contener la cifra más aproximada al cobro en

el momento de la emisión del estado financiero, se debe tener en cuenta
que solo va especificado en el estado de revelaciones.
b) En el caso que no exista un responsable del delito entonces la entidad lo registrara
así:
Tabla 0-4 Contabilización cuando no hay responsable
CUENTA DEBE HABER

BANCOS 80.000.000
53 PERDIDA DE 80.000.000
ACTIVOS Y OTROS
En esta forma de contabilización se puede intuir que el resultado del ejercicio está afectado
por la pérdida, por tanto, el impuesto de renta también será inferior a pagar.
c) Como se estudió en los literales a y b, la contabilización de una pérdida por ser
víctima de un delito informático, sin embargo, hay otras cuentas que son más
complejas en su cuantificación, en estas, encontramos los intangibles (Software,
información, disponibilidad de un servicio, entre otras), se deben tener fórmulas
para la cuantificación de todas las partidas que pueden ser objeto de hurto
mediante la tecnología informática. Ejemplo, mediante la informática se copió de
forma ilegal un software que tenía una aplicabilidad específica sobre la prestación
de un servicio de consultoría, dicho software fue comercializado con la
competencia, esta situación ocasiono que, la ventaja competitiva desapareciera y
que además la competencia pudiese hacer los procesos igual de eficiente y en un
tiempo inferior al que antes ocupaba en cada tarea, este delito se le sumaran los
cálculos por los ingresos que deja de percibir la empresa y que fueron hacia la
competencia y en un periodo de tiempo estimado en que se pudo desarrollar la
aplicación, la mano de obra y una prima adicional en la programación del sistema
informático.
Cuando los recursos son recuperados en el mismo periodo fiscal se pueden reversar los
asientos o cancelarlos y no generar ninguna distorsión, pero debido a la lentitud de los procesos
judiciales esto únicamente ocurre cuando las entidades bancarias cubren esos montos de forma
voluntaria y rápidamente.
Es importante dejar evidencia de la situación en el estado de revelaciones y diseñar políticas
para el posterior reconocimiento una vez se hayan recuperado los recursos.
Pasado el proceso judicial que la empresa instauro para resarcir el perjuicio sufrido con el
delito informático, el juez pude fallar de dos maneras:

a) El juez determinó que la empresa ABC tenía controles suficientes y que es
responsabilidad del banco la custodia de esos recursos, por tanto, este debe
reintegrar los ochenta millones que fueron sustraídos de las cuentas mediante la
suplantación, el registro contable se realizaría así:
Tabla 0-5 Contabilización NIIF cuando se gana demanda
CUENTA DEBE HABER

BANCOS 80.000.000
ACTIVO 80.000.000
CONTINGENTE
b) El juez determina que el banco no tiene la obligación de reintegrarle el total del
dinero debido a que se encontraron factores de riesgo dentro del control interno de
la empresa ABC, por tanto, fue responsabilidad de estos la pérdida de esos
recursos, en este caso el registro seria así:
Tabla 0- 6 Contabilización cuando se paga una demanda en caso de ser autor del
delito
CUENTA DEBE HABER

53 GASTOS POR 80.000.000
PERDIDA DE
ACTIVOS
ACTIVO 80.000.000
CONTINGENTE
Aunque la empresa reconoce la pérdida de los recursos como un gasto, el tratamiento contable
de estos también puede ser durante más de un periodo fiscal, esto se debe hacer mediante un acta
del órgano competente y dejarlo bien especificado con su respectiva política, esta amortización
de la perdida a varios periodos se hace para no afectar en demasía la utilidad del ejercicio y el
apalancamiento externo por unos estados financieros poco útiles para adquirir deuda, también
para no castigar a sus socios igualmente en la repartición de utilidades del ejercicio del fallo.
Si la empresa ABC compartió información de sus colaboradores de manera arbitraria y sin la
autorización de estos, incurrió en un delito informático, contemplado en el Código Penal como se
evidenció en la tabla que describe estas conductas punibles.
Existen dos opciones para el reconocimiento:
a) Ninguno de los afectados instaura una denuncia penal, por tanto, la empresa en
esta situación no debe reconocer contablemente el delito, ni hacer provisión
mediante un pasivo contingente.
b) La empresa fue demandada por los afectados por una suma de 20 millones por los
perjuicios ocasionados, la empresa además calcula que los gastos de abogados
tanto de la empresa como las arras de los denunciantes alcanzan una suma de 10
millones adicionales, en este caso su contabilización será as:
Nota: aunque el valor de la contingencia tenga exactitud relativa esta no se registra en

el sistema contable, únicamente se describe en el estado de las revelaciones, de forma
resumida pero clara sobre la naturaleza de esta partida y valor que se provisiona.
Pasado un año el juez puede fallar a favor o en contra de la empresa y su contabilización en
cada caso será de la siguiente manera:
a) Si el juez falla a favor del demandante:
Tabla 0- 7 Contabilización después de un fallo

CUENTA DEBE HABER
PASIVO 30.000.000
CONTINGENTE
EFECTIVO O 30.000.000
EQUIVALENTE
b) Si el juez falla a favor del demandado entonces simplemente se debita el
pasivo contingente en la nota contable y se describe la situación.
Tabla 0- 8 Contabilización después de un fallo donde la empresa fue
demandada pero gano esta querella frente al demandante
CUENTA DEBE HABER

PASIVO 30.000.000
CONTINGENTE
EFECTIVO O 30.000.000
EQUIVALENTE
c) Fuente: Autor original
d) En ambos casos los gastos adicionales incurridos para la defensa jurídica
se manejarán como un gasto no operacional y serán depurados en el
cálculo del impuesto de renta, debido a que existe la presunción de buena
fe, aun cuando se halle culpable de un delito informático.
En derecho penal colombiano debe haber una parte demandante y otra parte demandada es así
que para reconocer un activo o pasivo contingente deben existir igualmente las dos partes, dada
las condiciones en que se presentan los delitos informáticos en algunos casos no existen las dos
partes, por ejemplo en el Ransomware donde una persona o un grupo de personas a través de la
red secuestro un sistema informático, ocasionando unos prejuicios económicos y logísticos a una
entidad; esta los valoró y puso la respectiva denuncia pero no existe un tercero o demandado
definido o claro, puede que los resultados de la investigación no descubra responsable alguno, así
pues que habiendo denuncia y una estimación económica del daño sufrido por la entidad víctima,
no se puede esperar un beneficio futuro de este evento ya que no hay una persona natural o
jurídica como sujeto pasivo del proceso jurídico al cual se le obligue a pagar.
Dada la situación anterior no puede contabilizarse como una contingencia si no como una
pérdida sufrida por la entidad en su estado de resultados específicamente, lo que se podría hacer
mediante estatutos, políticas y normas seria diferir la perdida en distintos periodos grabables,
pero detallando el evento en el estado de revelaciones, esto con el fin de conservar unos estados
financieros óptimos para el apalancamiento financiero con entidades bancarias o posibles
inversionistas.
Cuando el pasivo o el activo contingente tengan distintos posibles desenlaces la provisión se
hará de acuerdo con el importe de la situación más posible, de tal manera que la entidad pueda
provisionar la totalidad del evento una vez ocurra en el tiempo.
Cabe resaltar que en estos eventos particulares para que se materialice un pasivo o un activo
contingente depende de hechos que no son controlados por la entidad.
Cuando el concepto de una provisión ocurra, entonces la entidad tendrá que hacer el ajuste a
esta para poder cancelarla con la entrada de recursos a la entidad en el caso de un activo
contingente que puede ser una demanda fallada favoreciendo la empresa y en contra de un
tercero que ocasiono un perjuicio mediante un delito informático, o bien la salida de recursos de
la entidad como pago a un tercero que se le ocasionó un daño mediante una acción punible y
enmarcada como delito informático por la legislación nacional.

En caso de que la entidad sea la demanda entonces deberá hacer un pasivo contingente contra
un mayor, pero no lo reflejará en sus estados financieros y si lo hará en las notas, siempre y
cuando exista un proceso judicial para exigir un monto económico.
Cuando las sanciones a la entidad son administrativas pero que igualmente perjudican los
estados financieros la organización debe hacer la respectiva nota describiendo la situación.
Ejemplo, un funcionario de la empresa uso la lista de precios y condiciones de negociación de un
proveedor a otro, ocasionándole daños y perjuicios, un fallo judicial determinó que la empresa
debía estar sellada durante una semana, esta situación originó que no hubiesen ventas durante ese
tiempo, por tanto sus ingresos estuvieron menguados, adicional a ello fue difícil sostener los
gastos de ese mes, al final del periodo contable esa situación ocasiono que los resultados del
periodo no fueran los esperados, aunque no existe manera de registrar esa sanción y tiene una
importancia relativa en el desempeño del año gravable en cuestión, se debe hacer la nota
respectiva detallando la situación para tener un parámetro fiable para medir los resultados de la
empresa.
7.4. Mecanismos Para La Prevención Y Creación De Políticas Contables Para La
Gestión Del Riesgo De Los Delitos Informáticos.
Para las empresas es importante tomar acciones en la gestión del riesgo de este tipo de delitos,
los cuales constituyen una amenaza real como se evidencia en la actualidad. El uso de la
informática para almacenar y compartir todo tipo de información de diferente naturaleza e
importancia para las organizaciones hace que se deban buscar y desplegar mecanismos que
eviten o hagan más difícil ser víctima por parte de los delincuentes informáticos.
En este contexto, es trascendental tener un conocimiento en detalle de cada delito desde el
punto de vista financiero, normativo, contable e informático, por ende, se requiere un equipo
multidisciplinario para tomar el problema desde todos los ángulos y así mismo crear conciencia
en el personal de la organización sobre el tema. Además, es importante porque es su deber crear
un mapa de riesgos y un plan de gestión que irán directamente a las políticas contables, manual
de procesos y creación de herramientas tecnológicas que impidan la presentación de conductas
inadecuadas.
De la misma manera debe basarse el manual de procesos y procedimientos, con el fin de
diseñar políticas que ayuden a la empresa a estar preparada para estos eventos, tanto para
evitarlos como para gestionarlos una vez presentados en la organización.
En el manual de procesos y procedimientos se deben describir detalladamente las acciones
que se hacen o que no se deben hacer, esto en aras de garantizar una seguridad en sus sistemas
informáticos y contables. En la descripción de las conductas punibles se puede deducir también
la forma en que se pueden evitar, por esto, se considera importante enunciar algunas acciones
que se pueden tomar para evitar este tipo de delitos:
 Tener copias de respaldo de la información de manera periódica y que este
desconectada física y virtualmente de internet.
 Hacer actualizaciones del sistema operativo y contar con la licencia legal,
igualmente del antivirus.
 Cuando se tengan equipos sin actualizar es conveniente desconectar este hardware
del acceso a internet.

 No abrir correos electrónicos sospechosos que alerten sobre situaciones como
cobros jurídicos, actualización de datos y similares.
 Verificar el dominio del remitente de los correos electrónicos cuando son de
entidades bancarias o de control gubernamental, por ejemplo, la DIAN, cuenta
con un número de verificación para corroborar su autenticidad.
 No compartir datos financieros a través de correos electrónicos, llamadas,
mensajes de texto o redes sociales.
 No abrir correos electrónicos o archivos adjuntos cuando los remitentes no son
conocidos.
 Al navegar verificar los dominios de sitios web para comprobar su veracidad y los
que no se conozcan tener diseñadas acciones para una mayor prevención.
 No descargar software a través de sitios no conocidos para tal fin.
 No descargar archivos por plataformas Peer To Peer (P2P) o páginas tipo Torrent.
 No conectar periféricos que no sean confiables o pertenecientes a la empresa,
estos deben estar marcados y con prohibiciones de conectividad y del tipo de
información a grabar en estos.
 Al usar páginas web se debe revisar la URL vigilando que no haya errores
ortográficos, palabras mal escritas, enlaces automáticos, etc.
 Las aplicaciones que se descarguen en smartphones siempre deben ser desde Play
store de Android o de App store de iOS de Apple, que garantiza un proceso de
verificación y evaluación de programa maligno.
 Implementar los pagos a través del teléfono puesto que es más difícil de clonar
que las tarjetas convencionales de chip o banda magnética.

 Al usar páginas para comprar en la web, siempre hacerlo escribiendo la URL del
sitio y no utilizando links desde correos.
 Nunca utilizar computadores que no sean propios para hacer transacciones
financieras o que estén conectados a redes públicas.
 En computadoras portátiles es importante cifrar la información contenida en el
disco duro debido a la facilidad de hackear el aparato utilizando las redes Wifi.
 Cerrar siempre las sesiones de los computadores y antes de apagarlo hacer copia
de seguridad.
 Utilizar dos cuentas de correo electrónico, una social y la otra con la información
financiera.
 Usar aplicaciones antirrobo en los dispositivos móviles, esto permite subir
archivos en tiempo real a un servicio de almacenamiento en la nube, como
fotografías y llamadas además de su ubicación por GPS.
 Borrar inmediatamente recibidos los correos spam, archivos adjuntos sospechosos
y anuncios de ofertas de última hora que sean sospechosos.
 Comprar tiquetes aéreos en las páginas oficiales de las aerolíneas o en portales
reconocidos.
 Evitar comprar productos o servicios con ofertas increíbles, generalmente están
ligados al fraude informático.
 Activar las notificaciones al correo o al celular de las transacciones financieras de
las tarjetas y cuentas bancarias.
 Cuando se contrate personal se deben firmar todos los documentos legales entre
los cuales debe estar la autorización al uso de los datos del colaborador.
Previamente se enumeraron las medidas a tomar. Haciendo una analogía con la auditoria o el
sistema de control interno se puede comparar que:
Los delitos informáticos son la matriz de riesgos, posteriormente se puede hacer una
semaforización de estos, analizando y determinando cuales son los más probables, los de más
impacto y asignarles un color, una vez llevado este proceso se puede diseñar un modelo de
gestión del mismo.
En este modelo de gestión del riesgo es importante explorar un orden cronológico, puesto que
algunas medidas de control son prioritarias ya que involucran además de lo informático un riesgo
normativo, es el caso de las licencias de software y hardware de la organización.
La ley 44 de 1993 determina que la persona que tenga software sin la licencia de su creador o
distribuidor oficial estará incurriendo en una conducta castigada con prisión entre dos y cinco
años, además de pagar una indemnización por daños y perjuicios al tercero afectado, de la misma
manera la ley 603 del año 2000, establece que todas las empresas deben reportar a la DIAN de
manera anual la licenciatura del software, además define a esta entidad como la encargada de
vigilar y sancionar de forma pecuniaria a los infractores.
Las medidas para gestionar el riesgo no necesariamente constituyen una inversión alta de
recursos económicos en las organizaciones, suele ser más de procesos y conocimiento, puesto
que la implementación de algunas acciones permite estar blindados en la mayoría de los delitos
informáticos que existen en la actualidad. Las empresas deben socializar entre sus colaboradores
los protocolos para usar herramientas informáticas, y garantizar que estos sean conscientes en
todo momento al manipularlas siendo agentes activos de la información contenida en medios
informáticos.
De igual forma, los profesionales informáticos tienen herramientas que contribuyen a una
prevención más efectiva. Por ejemplo, la creación de usuarios y determinación de accesos
basados en las funciones de cada colaborador, bloqueando el uso a internet o restringiéndolo a
través de Proxys o VPN (Red virtual privada) solo a sitios de interés empresarial que sean
seguros.
También es importante que la empresa se proteja desde adentro, puesto que también existe la
posibilidad que se incurra como autora en los delitos, esto debido a su desconocimiento o falta de
controles.
La situación en Colombia debido a más del 90% de sus empresas son pequeñas o PYMES en
la mayoría de los casos no cuenta con un departamento exclusivo de sistemas o informático, por
tanto, estas funciones son tercerizadas a una empresa o un profesional en ese campo, lo que
origina que no todo el tiempo se cuente con soporte técnico, las organizaciones debido a esta
situación se han adaptado teniendo en el departamento contable un apoyo en el sostenimiento del
sistema de información.
Es a la gerencia la que corresponde la tarea de las políticas contables y es a través del apoyo
de todos los colaboradores organizarlas para gestionar los riesgos concernientes a los delitos
informáticos, es importante adicionalmente tener un programa de capacitación en el tema con
una frecuencia suficiente para que todos los usuarios de las tecnologías informáticas tengan un
manejo consiente de las situaciones que se pueden originar a través de estas.

Es importante resaltar que, en la contabilización del delito, lo que se tiene en cuenta son las
consecuencias de la comisión de este para la organización, desde el punto de vista de víctima o
de victimario. Se debe hacer una lista y se valúan los daños, aplicando las políticas contables
sobre la materia que se deben hacer desde la administración de la empresa.
Con el objetivo de brindar los parámetros a seguir en la creación de políticas contables se
ofrecen los siguientes ejemplos:
La empresa UNO fue víctima del delito informático de sustracción de dinero de sus cuentas
mediante un Keylogger instalado en el pc de tesorería y cuyo autor es un empleado de la
empresa. Esta procede entonces a examinar los saldos en la contabilidad y compararlos con
extractos impresos en ese momento de la entidad bancaria, encontrándose los siguientes
resultados:
Tabla 0-7 Relación de faltantes por fraude financiero
BANCO CONCEPTO VALOR

Banco Davivienda Retiro No Autorizado 7.500.000
Bancolombia Retiro No Autorizado 9.800.000
Colpatria Retiro No Autorizado 11.450.000
TOTAL 28.750.000
Además del valor en las cuentas la empresa también debe tener en cuenta otros gastos
adicionales que asumirá para recuperar el dinero de manera jurídica mediante un pleito.
Tabla 0- 8 Discriminación de gastos relacionados al delito informático
TERCERO CONCEPTO VALOR

De la Espriella y Honorarios para poner 8.625.000
Asociados jurídicos denuncia contra empleado y
los demás gastos legales de
representación
Notaria Cuarta de Autenticación del Poder 50.000
Armenia Amplio y suficiente
GMF Impuesto pagado por el 115.000
retiro no autorizado del
dinero
Intereses en Proveedores Al no pagar a tiempo por 345.000
falta de liquidez ocasionada
por la sustracción de los
recursos, la empresa se
retrasó en sus obligaciones
con acreedores, por tanto,
se generaron intereses.
TOTAL 9.135.000
Una vez hechos estos cálculos que están en concordancia con la política contable y la norma
contable, en este caso las NIIF y específicamente la sección 21, denominada “Provisiones y
Contingencias” que es donde da directrices a situaciones similares a la planteada e indica su
contabilización.
La contabilización en un sistema contable seria de la siguiente manera:
Tabla 0-9 Contabilización NIIF de los conceptos incluidos en la afectación por delito
informático
CODIGO PARTIDAS PARCIALE DEBE HABER

S
1699 PROVISIONES Y 37.885.000
CONTINGENCIAS
169901 CXC Por Retiros 28.750.000
No autorizados
Bancos
169902 Asesoramiento 8.625.000
Legal en litigios
169903 Gastos 50.000
Relacionados al
Litigio
169904 GMF x Retiro no 115.000
Autorizado
169905 Sobrecostos con 345.000
terceros por
Iliquidez por Retiro
no Autorizado.
11 EFECTIVO Y 37.885.000
EQUIVALENTE
11100501 Banco Davivienda 7.500.000
11100502 Banco Bancolombia 9.800.000
11100503 Banco Colpatria 11.450.000
110505 Caja 9.135.000
Sumas iguales 37.885.000 37.885.000
El delito del cual la empresa fue víctima se contabiliza de la forma anteriormente descrita,
cuando el daño está en la sustracción de mercancía, de información importante y de otro activo,
la estimación monetaria del mismo se hará de acuerdo con el valor de mercado, los recursos
invertidos en el mismo y en la importancia de este bien en la generación de valor y en las
operaciones ordinarias de la empresa o persona natural a la cual le causaron el daño.
Cuando una empresa o trabajador de esta comete lo que el código penal estipula como un
delito informático el tratamiento contable es similar en cuanto a la identificación y gastos que
genera el tercero afectado, pero todo ira a una cuenta de pasivo de provisión y contingencias
puesto que son unos recursos que la empresa espera gastar en un futuro cuando el sistema
judicial falle en contra o cuando la entidad llegue a un acuerdo de conciliación con el afectado y
este sea aprobado por el juez que lleva el proceso.
El primer paso para reconocer que la empresa cometió un delito informático es tener un
proceso judicial donde la organización sea la demanda, en esta demanda el sustento probatorio
debe tener documentación para la valuación del perjuicio causado por la entidad, la organización
puede aceptar estos valores o pedir un perito para confrontar cifras y tener un valor más objetivo
y neutral para las dos partes, puesto que ese perito es escogido por el juez basado en el perfil
requerido para la tarea y esta persona no tiene ningún vínculo de afinidad, familiar, laboral o
comercial con ninguna de las partes.
Una vez hecha la aceptación de la demanda y la valoración de los daños a que fueron
expuestos los demandados, la empresa procederá a la contabilización y debe figurar tanto los
gastos del demandante como el de la empresa para su representación judicial, además de los
intereses en los periodos contables a que haya lugar, entre otros gastos.
Así, por ejemplo: la empresa DOS la cual se dedica al soporte técnico en un sistema contable
a terceros que adquirieron con la compañía el mismo, le causo un fraude financiero a través del
Backdoor por la cual trabajaba para hacer soporte remoto y en dicho fraude sustrajo dinero y
modifico datos en cuanto a los saldos en bancos que aparecían en el sistema.
La empresa víctima de esta conducta mediante una auditoria descubrió la anomalía y decide
demandar.
En la demanda aparecen los siguientes datos:
Tabla 0-10 Detalle de los gastos incurridos por el tercero afectado por delito por parte de la
organización
TERCERO DETALLE VALOR

Banco Pichincha Sustracción 56.000.000
Auditoria Esta fue contratada por 4.000.000
sospecha de la situación
Abogados Gastos de Representación 16.800.000
Notaria Gastos notariales 150.000
Estado GMF generado por el retiro 224.000
y transferencias
Proveedores Intereses generados en las 672.000
CXP por iliquidez
ocasionada por la
sustracción del dinero.
Contador Trabajo suplementario al 2.300.000
departamento contable para
corregir las modificaciones
en el sistema contable
TOTAL 80.146.000
La empresa una vez recibe la notificación de la demanda y tiene el acceso a la información de
esta, ve la tabla detallada de los valores y conceptos y decide aceptarlos para ahorrar gastos en
peritaje y porque hecho un estudio considera que coinciden con la realidad y por rastreo
encuentran el valor del fraude cometido por el empleado.
Para la contabilización de estos valores, hace falta además agregar los conceptos de los gastos
en los que la empresa tendrá que incurrir para defenderse jurídicamente o conciliar el pleito.
Estos son los siguientes:
Tabla 0- 11 Detalle de otros gastos relacionados por la empresa que cometió el delito
informático
TERCERO CONCEPTO VALOR

Notaria Autenticación poder de 80.000
representación abogado
Abogado Honorario de 9.000.000
Representación en litigio
Los gastos adicionales que se causaron por parte de la organización para contestar la demanda
en un juzgado si se descuentan del disponible ya que esas partidas se ejecutaron, por tanto son
transacciones que no son provisión o contingencia pues ya se la empresa desembolso, sin
embargo la entidad puede asociar esos gastos con el caso en particular para calcular el valor total
de todo el proceso, para que en el futuro mediante una acción de repetición hacia el empleado
que cometió el delito informático responda pecuniariamente por la totalidad de los daños tanto de
la empresa en la que labora como en el afectado por su acción delictiva. La contabilización de
estos gastos seria:
Tabla 0-12 Contabilización del gasto cuando se cometió el delito
CODIGO CUENTA PARCIAL DEBE HABER

539520 Multas, 9.080.000
sanciones y
litigios
53952001 Gastos 80.000
Notariales en
litigios
53952002 Gastos de 9.000.000
representación
legal
11 Efectivo y 9.800.000
equivalente
En el Estado de Revelaciones o Notas a los Estados Financieros debe estar el detalle,
concepto y valores pagados por el litigio, puesto que en el futuro la empresa va a comprometer
sus utilidades debido al pago por prejuicios contra el demandante por el delito informático del
cual fue víctima.
En el periodo que se informa igualmente los gastos asociados al litigio disminuyen las
utilidades y constituye un asunto importante para la toma de decisiones de los stakeholders en
cuando a provisionar un porcentaje del resultado del ejercicio para respaldar el pasivo
contingente y amortizar de forma proporcional el posible monto a pagar y no sacarlo en un 100%
de un resultado del ejercicio futuro, incluso esta situación podría generar perdida en el ejercicio
dependiendo el valor a pagar y la utilidad del periodo contable.

7.4.1 Políticas contables para la gestión del riesgo del delito informático.
Las políticas contables son una herramienta que sirve para dirigir el departamento de
contabilidad sobre el reconocimiento, identificación, clasificación, valuación entre otras, de las
transacciones que hace la organización, además de la forma de revelar y presentar dicha
información en el futuro, al igual que la medición de las partidas a través del tiempo.
El objetivo de las políticas es que los eventos sean presentados en los estados financieros de
la organización cumpliendo con unas características cualitativas para la representación fiel y la
materialidad de las transacciones de la empresa.
Las políticas contables deben basarse en los Estándares Internacionales de Contabilidad e
Información Financiera, que se componen como meta el alcance, reconocimiento, medición,
valuación y revelaciones.
La aprobación de las políticas son competencia y responsabilidad de los órganos
administrativos de las empresas como, la gerencia, la junta directiva y similar.
Cabe resaltar que los procedimientos y datos contables que se modifiquen posteriormente al
cambio de políticas en que se hicieron en su momento, no involucra cambiar la totalidad de
estos, adoptando las nuevas políticas diseñadas por la entidad.

7.4.1.1 POLÍTICA DE COMUNICACIÓN ENTRE DEPARTAMENTOS
OBJETIVO:
Crear un rastro, constancia de solicitudes y trabajo en general entre los distintos
departamentos y prevenir la complicidad entre colaboradores para la comisión de delitos
informáticos.
ALCANCE:
En el normal funcionamiento de la empresa, la comunicación entre los departamentos se hará
de forma escrita mediante correos electrónicos corporativos, utilizando un formato diseñado
donde se detallará, la fecha, el asunto, un nivel de prioridad de alta media o baja, está
dependiendo de la incidencia del asunto en la operatividad de la organización, es decir, si el
asunto es causa de una interrupción de las operaciones diarias, la prioridad es alta, si
compromete en un mediano plazo las operaciones la prioridad es media y si en cambio el asunto
perjudica a la empresa en el largo plazo entonces la prioridad de la solicitud es baja. Esto se hace
para crear planes de trabajo en el departamento de informática para trabajar de manera óptima
cumpliendo las metas de solución estratégicas para la organización.
7.4.1.2 POLÍTICA DE ACCESIBILIDAD AL SISTEMA INFORMÁTICO Y
MANTENIMIENTO DE ESTE.
OBJETIVO:
Crear un ambiente en el sistema de información seguro y cambiante para la gestión del riesgo
de los delitos informáticos.

ALCANCE:
Esta política tiene el alcance de dar responsabilidades específicas al departamento informático
para tomar medidas y dinámicas para controlar en un alto nivel las amenazas externas e internas
en la comisión de delitos informáticos.
a) Modificación de contraseñas de ingresos de manera periódica: con una frecuencia
semanal se cambiarán las contraseñas de todos los usuarios al sistema, estas
nuevas claves se harán llegar al correo corporativo de cada colaborador, esto con
el fin de prevenir la suplantación entre empleados, hackeo de claves, phising,
entre otros.
b) Filtrado de remitentes sospechosos: los remitentes de correos electrónicos
desconocidos y sospechosos al correo de los distintos usuarios del sistema tendrá
como manejo estándar, que estos correos se enviarán de manera inmediata a un
correo específico a cargo del departamento de sistemas para que este en la mayor
brevedad posible determine la seguridad del mismo, en caso que sea seguro avise
al destinatario original que lo puede abrir y además agregue al destinatario a la
lista segura de contactos, de lo contrario eliminará el correo y bloqueará al
remitente. Esta situación particular se le dará una prioridad alta, debido a la
importancia de la información que llega a la organización y a la prevención del
Phising, malware, troyanos, virus, entre otras amenazas informáticas.
c) Configuración de accesibilidad al sistema a los distintos usuarios: las necesidades
son diferentes entre los usuarios, razón por la cual el departamento de sistemas
debe hacer un estudio por puesto de trabajo ayudado por los diferentes actores con
el fin de que sea lo más acertado posible, luego de este estudio, el departamento
de sistemas configurará cada usuario con los permisos necesarios para desarrollar
sus actividades diarias y bloqueará el acceso a aplicaciones y a páginas que no
tienen competencia en determinado puesto de trabajo.
d) Configuración de acceso a la web: el departamento informático bloqueará el
acceso de todo el personal a redes sociales y plataformas de música y videos,
además se hará una lista con las páginas a las que normalmente se requiere, se
tendrá en cuenta para su ingreso la URL exacta y no mediante links en
buscadores, si se requiere un sitio diferente se debe primero tener el visto bueno
del personal de informática.
e) Bloqueo de ventanas emergentes y cookies: el departamento de sistemas en
colaboración con contabilidad y tesorería hará una lista de las ventanas
emergentes de sitios que la empresa lo requiere, tal es el caso de portales de
entidades bancarias, la plataforma de seguridad social, entidades vigilantes como
la DIAN y superintendencias, entre otras. Este literal tiene el fin de prevenir el
phishing, crackers, entre otros programas malignos.
f) Manejo de instalación de software adicional: en el normal funcionamiento de la
organización exista la necesidad de instalación de aplicaciones informáticas
adicionales y complementarias con otras que ya tiene el sistema, tal es el caso
como Adobe Reader, Flash Reader, entre otras, para tales casos donde se quiere
software adicional solo el departamento de sistemas hará la instalación del mismo,
siguiendo un protocolo determinado como usando un sitio seguro y adquiriendo
las licencias legales para cumplir la norma de la utilización del software legal.
g) Utilización de periféricos y su configuración en el sistema: cuando se adquiera
periféricos como fotocopiadoras, escáneres, impresoras, equipos de proyección
entre otros, será responsabilidad del departamento informático la recepción y
revisión de los mismos, una vez determinado su buen estado en el momento de
ingreso a la organización procederá a la configuración en el sistema informático y
la parametrización para su uso por parte de los colaboradores correspondientes,
será este departamento el encargado de descargar o grabar los controladores de
cada equipo. Esto con el objetivo de prevenir troyanos y malware en el momento
de la instalación y adicional por la necesidad que representa que no todos los
usuarios tienen ingreso a todo el sistema informático.
h) Uso de Exploit: el departamento de informática tiene la responsabilidad de usar
aplicaciones para escanear el sistema y analizar posibles fallas de seguridad y en
caso de presentarse, diseñar un plan de acción que eliminen o minimicen estas
fallas, esto se hará con una frecuencia diaria al final de las operaciones y se
llevara una estadística donde se clasifiquen y describan a través del tiempo el
comportamiento del sistema desde el punto de vista de seguridad, para sacar
patrones y saber en qué aspecto hace falta fortalecer la seguridad del sistema.
i) Uso de dispositivos de almacenamiento externo (USB, SSD, Micro SD, Entre
otros), solo se permitirá el uso de estos dispositivos a usuarios específicos y que la
empresa considere necesarios para el respaldo de información, en ningún caso
esos dispositivos abandonan las instalaciones físicas de la organización y solo se
permitirá el uso de dispositivos propiedad de la organización, los usuarios que no
estén autorizados para este fin, se les configurara su perfil para bloquear estos,
adicional a ello, el departamento de informática hará una evaluación periódica de
los mismos desde un pc independiente de la LAN para gestionar riesgos, estos
periféricos son de uso muy limitado y se considerará falta grave la pérdida,
transferencia de información a equipos personales, el intento de uso por parte de
personal no autorizado, intento de sustracción de información desde usuarios y
equipos desautorizados. Este literal tiene como fin los delitos como la instalación
de Keylogger, gusanos, bombas lógicas, virus, spyware, troyanos y cualquier
crimeware o malware por parte de los colaboradores de la empresa.
j) Consideraciones del uso del correo electrónico corporativo: cuando se reciban
más de tres mails de un mismo remitente desconocido y en un lapso inferior a 10
minutos se procederá a bloquear al remitente y a eliminar los correos sin abrirlos
antes, esto con el fin de prevenir el Hoax, el Flood o Flooder y los Spam.
Todas estas medidas tienen como fin el funcionamiento óptimo del sistema informático y
la prevención de delitos informáticos, responsabilizando en acciones concretas a los actores
concernientes dentro de la empresa.

7.4.1.3 POLITICA PARA EL MANTENIMIENTO DEL SITIO WEB
OBJETIVO
La prevención del Hijacking, Pharming, Phising, diales
ALCANCE
El departamento de informática tomara las siguientes medidas para la prevención de delitos
informáticos, relacionados con su página web.
a) Cambio de contraseñas de ingreso a la administración del sitio WEB, de manera
periódica se cambiará la contraseña y serán responsables unos colaboradores
determinados para custodiar estas, el compartir estos datos se considerará una
falta grave y es causal de despido por justa causa, esta medida se toma para
prevenir las Backdoors y Dialer.
b) Se hará un escaneo con un software exploit de manera periódica para determinar
fallas de acceso y proceder a corregirlas. Esta medida prevendrá el Hijacking.
c) Se revisará de manera frecuente en los buscadores, los sitios web que arrojan con
palabras para buscar la página de la organización, esto para prevenir la
suplantación, una vez encontrados links falsos o phising se procederá a denunciar
a las autoridades correspondientes y a comunicar a los clientes mediante correos
electrónicos o llamadas telefónicas sobre la situación, esta medida es importante
para prevenir el robo de información privada y el fraude financiero.

Los literales anteriores previenen las acciones delictivas descritas y adicional a ello
también ayudan a clientes en una mejor experiencia de uso del sitio web de la organización y una
red social unida en la prevención del crimen.
7.4.1.4 POLITICA DELITO INFORMATICO CUANDO SE ES VICTIMA
OBJETIVO:
Determinar la valuación y clasificación de las partidas que están involucradas en los delitos
informáticos y que en un futuro o final de un litigio legal la empresa puede ser beneficiada por
un daño ocasionado por un tercero y que perjudicaron desde el punto de vista funcional o
financiero a la entidad.
ALCANCE:
Este concepto será aplicado a las partidas de Provisiones y Contingencias del grupo Activo,
dentro de esta partida se pueden crear subpartidas para una mayor claridad de los conceptos de
las transacciones a contabilizar, por ejemplo; dentro de un delito por fraude financiero en una
entidad bancaria aparte del dinero perdido también hay otros valores relacionados como, el
cálculo de los prejuicios causados, los gastos en asesoría legal, gastos de papelería, gastos de
patinaje en un juzgado, entre otros.
La empresa deberá discriminar de manera detallada y la valuación de las partidas con base en
parámetros internos o en la colaboración de un tercero capacitado, esto para brindar la mejor
materialidad para los stakeholders.

REFERENCIA TECNICA:
Las partidas y conceptos involucrados están enmarcados dentro de las NIIF, específicamente
la NIIF Sección 21 denominada PROVISIONES Y CONTINGENCIAS, antes la NIC 37
“PROVISIONES, PASIVOS Y ACTIVOS CONTINGENTES”. Estas especifican unos
parámetros para la medición y el reconocimiento inicial y posterior revelación en las notas a los
estados financieros.
Ley 1273 del año 2009 y la ley 599 del año 2000 (Código penal), donde se describen las
conductas que son consideradas delitos informáticos y que ya están descritas anteriormente en
este texto.
DEFINICIÓN
Según el código penal colombiano el delito informático son actividades ilícitas, que se
cometen mediante el uso de computadoras, tecnologías informáticas u otros dispositivos de
comunicación, además también contempla el uso de datos personales almacenados en sistemas
sin la autorización del propietario legítimo de estos datos. [ CITATION Ley09 \l 9226 ].
RECONOCIMIENTO
Solo se reconocerá un delito informático cuando se haya un tercero al que se le pueda cobrar
el fraude financiero o exigir indemnización por daños y perjuicios cuando la consecuencia del
delito no es financiera, ejemplo, cuando se sustrae información de bases de datos de la
organización por parte de un colaborador con distintos fines como venderlos. Sobornar a la
empresa u ocasionar un daño a la continuidad de las operaciones, en estos casos primero hace
falta calcular los posibles daños.
El reconocimiento estará acompañado siempre de una acción o demanda judicial en donde la
organización sea la demandante y este acompañada de una aceptación de la demanda por parte
del juez o la fiscalía, ya que se encontraron elementos de juicio para concluir que se fue víctima
de un hecho punible enmarcado dentro de los delitos informáticos.
MEDICIÓN
La medición debe tener el mayor detalle posible y que se acerque a la realidad del valor que la
empresa perdió en el momento y la descripción de los conceptos.
Cuando el delito es el fraude financiero mediante técnicas informáticas de distinta naturaleza,
la medición contempla el valor perdido por el delito, más otros conceptos como:
a) Honorarios a abogados.
b) Intereses causados a través del tiempo.
c) Gastos de papelerías para responder el litigio.
d) Transporte.
e) Si la empresa debe prestar recursos para cubrir la perdida en la inmediatez todos
los gastos financieros con el tercero acreedor deben estar incluidos en esta
medición.
f) Cálculo de la perdida en operaciones por la situación en particular.

Si el delito compromete información sustraída o daño en el sistema que afecten las
operaciones normales de la empresa, adicional a lo anterior debe estar el cálculo de estas
pérdidas por falta de operación y el pago de peritajes a personal capacitado para la obtención del
valor de la perdida, como también el personal adicional para la recuperación de la información
perdida, alterada o secuestrada que ocasiono el delito informático.
MEDICIÓN POSTERIOR
Al cierre de cada periodo contable las provisiones deben actualizarse, teniendo en cuenta los
gastos adicionales atribuibles al delito, igual en las partidas de las provisiones y contingencias,
adicional a ello se le sumara los intereses sobre el valor total aplicando la DTF fijada por el
Banco de la República.
PRESENTACIÓN EN LOS ESTADOS FINANCIEROS
En los estados financieros solamente se dará en conocimiento de los terceros interesados en el
estado de revelaciones, se revelarán las cifras generales y una leve descripción de los conceptos,
aunque estos valores no estén en el ESF ni en ERI si afectan el activo y la utilidad del ejercicio,
por tal razón deben ser revelados.
7.4.1.5 Política delito informático cuando se es victimario.
OBJETIVO:
Determinar la valuación y clasificación de las partidas que están involucradas en los delitos
informáticos y que en un futuro o final de un litigio legal la empresa puede ser obligada a pagar
una suma monetaria o sanción administrativa por un daño ocasionado a un tercero y que
perjudicaron desde el punto de vista funcional o financiero a la entidad. Esta situación puede
considerarse con dolo corporativo o por un colaborador donde cabe la acción de repetición contra
este en un futuro, después que el juez dictamino que la empresa debe ser sancionada.
ALCANCE:
Este concepto será aplicado a las partidas de Provisiones y Contingencias del grupo Pasivo,
dentro de esta partida se pueden crear subpartidas para una mayor claridad de los conceptos de
las transacciones a contabilizar, a los que la empresa causa por conceptos relacionados al proceso
de responsabilidad jurídica ante dicho delito.
La empresa deberá discriminar de manera detallada y la valuación de las partidas con base en
parámetros internos o en la colaboración de un tercero capacitado, esto para brindar la mejor
materialidad para los stakeholders.
La principal diferencia en comparación de cuando se es víctima es que las provisiones y
contingencias están contabilizadas como pasivo, es decir, es una cuenta por pagar en el futuro,
ocasionado por un hecho pasado que es el delito informático donde a la empresa se le atribuye la
autoría.
REFERENCIA TECNICA:
Las partidas y conceptos involucrados están enmarcados dentro de las NIIF, específicamente
la NIIF Sección 21 denominada PROVISIONES Y CONTINGENCIAS, antes la NIC 37
“PROVISIONES, PASIVOS Y ACTIVOS CONTINGENTES”. Estas especifican unos

parámetros para la medición y el reconocimiento inicial y posterior revelación en las notas a los
estados financieros.
Ley 1273 del año 2009 y la ley 599 del año 2000 (Código penal), donde se describen las
conductas que son consideradas delitos informáticos y que ya están descritas anteriormente en
este texto.
DEFINICIÓN
Según el código penal colombiano el delito informático son actividades ilícitas, que se
cometen mediante el uso de computadoras, tecnologías informáticas u otros dispositivos de
comunicación, además también contempla el uso de datos personales almacenados en sistemas
sin la autorización del propietario legítimo de estos datos. [ CITATION Ley09 \l 9226 ].
RECONOCIMIENTO
Solo se reconocerá un delito informático cuando hay un tercero el cual fue víctima por parte
de la organización o un empleado a nombre de esta de un delito informático y que pueda
cuantificar el daño hecho por este hecho punible.
El reconocimiento estará acompañado siempre de una acción o demanda judicial en donde la
organización sea la demandada y este acompañada de una aceptación de la demanda por parte
del juez o la fiscalía, ya que se encontraron elementos de juicio para concluir que se fue víctima
de un hecho punible enmarcado dentro de los delitos informáticos.

MEDICIÓN
La medición debe tener el mayor detalle posible y que se acerque a la realidad del valor que la
empresa perderá durante el proceso judicial entablado en contra por parte del tercero afectado,
detallando los conceptos de los valores contabilizados como pasivo contingente.
Cuando el delito es el fraude financiero mediante técnicas informáticas de distinta naturaleza,
la medición contempla el valor perdido por el delito, más otros conceptos como:
a) Honorarios a abogados.
b) Intereses causados a través del tiempo.
c) Gastos de papelerías para responder el litigio.
d) Transporte.
e) Si la empresa debe prestar recursos para cubrir la perdida en la inmediatez todos
los gastos financieros con el tercero acreedor deben estar incluidos en esta
medición.
f) Cálculo de la perdida en operaciones por la situación en particular.
También deben contemplarse los gastos adicionales expresados por la persona o empresa
perjudicada en sus operaciones o parte económica, por que dichos daños están contemplados
siempre en los litigios, los juzgados contratan peritos para calcular todos los prejuicios que se
ocasionaron en la comisión del delito.

MEDICIÓN POSTERIOR
Al cierre de cada periodo contable los pasivos contingentes y provisiones deben actualizarse,
teniendo en cuenta los gastos adicionales atribuibles al delito, adicional a ello se le calculan los
intereses sobre el valor total aplicando la DTF fijada por el banco de la república.
PRESENTACIÓN EN LOS ESTADOS FINANCIEROS
En los estados financieros solamente se dará en conocimiento de los terceros interesados en el
estado de revelaciones, se revelarán las cifras generales y una leve descripción de los conceptos,
aunque estos valores no estén en el ESF ni en ERI si afectan el activo y la utilidad del ejercicio,
por tal razón deben ser revelados.

8. ANÁLISIS MONOGRÁFICO
La masificación de la informática y su incursión en la mayoría de los procesos en las
empresas y en general todas las personas en la actualidad, han simplificado en gran medida la
complejidad de las tareas haciéndolas más sencillas y en una fracción de tiempo de lo que antes
se hacía.
Este proceso también ha orientado a comprimir información en archivos de software que son
portátiles o disponibles desde cualquier lugar en la nube, ingresando mediante códigos
individuales, al igual ha tenido incidencia en los recursos financieros, trasfiriendo valores
monetarios por medio de códigos informáticos entre distintas entidades, personas o empresas.
El desarrollo de la tecnología de internet también ha hecho que el conocimiento esté
disponible de manera gratuita a cualquier persona o empresa que navegue por un buscador y
llegue a este, el conocimiento ha sido utilizado a través de la historia para propósitos correctos
como para otros no tan correctos.
El ser humano comprendiendo el funcionamiento de un proceso, instrumento o cosa, puede
modificarlo haciendo mejoras para su beneficio. En informática ocurre lo mismo, los procesos
informáticos y herramientas en esta ciencia que administra los procesos dentro y fuera de las
organizaciones, se rigen por reglas y parámetros que pueden ser modificados para obtener un fin
o beneficio diferente.
El resultado o beneficio es el origen de los delitos informáticos, este fin está relacionado con
la ética y moral, hay un principio universal sobre el beneficio mutuo, se considera un acto
inmoral cuando el beneficio solo es para una parte o en cambio un bando se beneficia en
perjuicio del otro, en derecho un delito es un perjuicio que se le ocasiona a otra parte a cambio de
algún beneficio, puede ser material o inmaterial.
Los beneficios materiales o tangibles se refieren a dinero o algún objeto, mientras que el
beneficio inmaterial se refiere básicamente a satisfacción de antivalores morales o éticos como la
venganza, el odio, la sevicia, la envidia, entre otros.
La evolución de los delitos financieros ha ido de la mano con el desarrollo de la informática y
el internet, cuando no había una web, entonces los delitos informáticos consistían en robar
información de ordenadores utilizando periféricos para posteriormente comercializarla o
únicamente por cometer el daño.
En la década del 70 se desarrolló una modalidad de fraude telefónico consistente en fabricar
un dispositivo que producía unos silbidos similares a los de las conmutadoras de la época y
manipulándola se podía hacer llamadas ilimitadas de forma gratuita.
En 1978 se crea un archivo de fácil intercambio y que contenía una serie de conceptos para
hackear redes de telecomunicaciones, consistía en una especie de manual práctico.
En 1981 fue condenada la primera persona por un delito informático, su acción fue ingresar
en forma ilegal a los ordenadores de la compañía AT&T y modificar el reloj interno para
cambiar las tarifas telefónicas de horas pico y valles.
1982 se crea el primer virus, empezó como una broma de adolescentes y se propago
rápidamente por los equipos Apple II, su medio de propagación fueron los diskettes.
1986 el congreso de USA crea una ley sobre el fraude y el abuso informático, convirtiendo el
hackeo como una actividad ilegal.
En 1988 un egresado de la universidad de Cornell crea el primer gusano y lo propaga por la
red APRANET, antecesora de Internet, e infecta a más de seiscientas mil computadoras.
En 1989 se crea el Ransomware, el virus se propaga como una encuesta sobre el SIDA y
secuestra los datos de la computadora desde donde se responde la encuesta, el rescate de los
datos consistía en pagar 500 dólares. Ese mismo año fue arrestado otro grupo de personas que
estaban robando datos del gobierno de los Estados Unidos y vendiéndolos a la KGB de la Unión
Soviética.
En 1993 un individuo bloqueo todas las entradas a llamadas telefónicas a una estación de
radio para ganar un concurso, fue capturado y condenado a 5 años de prisión además se le
prohibió de por vida el uso a internet.
En al año 1994 se lanza World Wide Web y aparece un grupo de hackers black hat y entran a
programas nucleares de Corea y a instituciones gubernamentales de todo el mundo utilizando tan
solo un computador personal.
1995 aparecen los macro-virus que son archivos malignos contenidos en otras aplicaciones
aparentemente inofensivas como hojas de cálculo y archivos Word, entre otros.
1996 la CIA denuncio en el congreso que habían recibido más de seiscientos cincuenta mil
ataques de hackers a distintas instituciones y que más del 60 % habían tenido éxito.
En 1999 fue lanzado el virus MELISSA que sería el más dañino hasta la fecha, ocasionando
más de ochenta millones de dólares en daños en redes informáticas, su programador fue
condenado a cinco años de prisión.
En el año 2002 se lanza el sitio web Shadow Crew, un portal para hackers black hat donde
compartían conocimiento, planteaban metas y un foro de intercambio de ideas para ejecutar en su
actividad anónima e ilegal.
En el año 2003 el gusano SQL Slammer se vuelve el más rápido en propagarse por la red, más
de setenta y cinco mil computadoras en un tiempo de diez minutos, ocasionaba que la velocidad
de navegación fuera muy lenta debido a parámetros que establecían unos límites para la misma.
En la actualidad los delitos informáticos han tenido un incremento potencial en unos pocos
años, actualmente son ejecutados por estructuras organizadas que funcionan como empresas
legítimas, es decir, hay horarios y tareas asignadas a personas y un orden jerárquico de la
estructura criminal, estas estructuras son las responsables de al menos el 80% de los delitos
cibernéticos relacionados con la creación y propagación de crimeware, pero el otro 20%
corresponde a personas con cierto conocimiento que trabajan o tienen vínculos de alguna
naturaleza con la víctima, sea persona o empresa, y ejecuta la acción delictiva dentro de la
misma, esto gracias a un proceso de estudio y determinación de fallas en los sistemas de
seguridad informática o falta de controles.
La afectación a las empresas en la actualidad está enfocado a sus recursos financieros y a sus
activos intangibles como patentes, modelos de producción, software, entre otros, este segundo
botín se debe al mercado que hay para el mismo, su alto valor y su importancia para las empresas
en el desarrollo de sus actividades en el mercado.
Todo ello hace que surja la necesidad de gestionar el riesgo de los delitos informáticos desde
las múltiples plataformas desde donde se ocasionan, tales como los teléfonos inteligentes, las
computadoras, las maquinas industriales que se controlan remotamente a través de la
informática.
La ciencia de la informática y todo su potencial para construir y destruir ha sido acogido
incluso como un arma para las naciones y proteger su seguridad nacional, mediante el espionaje
y sabotaje de los adversarios, algunos ejemplos de esto podrían ser el sabotaje informático por
parte de Israel y Estados Unidos a Irán y su programa nuclear, las elecciones en Estados Unidos
y la posible afectación en el resultado por el uso de noticias falsas de Rusia para incidir en las
mismas, entre otros.
Hay empresas y organizaciones gubernamentales dedicadas a encontrar vulnerabilidades
denominadas Zero Days y entrar a controlar el software a través de estas fallas en los sistemas,
los gobiernos del mundo recopilan toda esta información de procesos judiciales a delitos
informáticos, pero no comparte los errores con los programadores o empresas encargadas de
programar y superarlos, por lo tanto, los criminales están con la ventaja del conocimiento que se
encuentra disponible en la Deep Web.
En las organizaciones los efectos de los delitos informáticos son múltiples, cuando la empresa
es la que comete el delito, puede tener consecuencias financieras por el pago de multas e
indemnizaciones muy altas que ponen en peligro el capital de trabajo y a la larga la continuidad
de la empresa en el mercado, también en multas operativas cuando las sanciones van hasta el
cierre por robo de licencias o modelos productivos, mercado, competencia desleal, entre otros.
Cuando la organización es víctima puede comprometer los recursos necesarios para su
operatividad, esto es muy visible cuando sus recursos económicos son sustraídos por medio de
un fraude informático mediante la suplantación con contraseñas divulgadas mediante alguna
técnica, gastos legales para la representación de la organización en un proceso legal contra el
autor del delito informático, su operatividad también puede estar en peligro por la pérdida del
sistema informático por medio del Ransomware o la sustracción de patentes y modelos
productivos.
Pérdida de mercado por la sustracción de información sobre sus clientes y proveedores,
detrimento de una ventaja competitiva frente a otras organizaciones y la posterior
implementación de esta en la competencia mediante herramientas informáticas.
Las Normas Internacionales de Información Financiera y su implementación en Colombia
mediante la ley 1314 del año 2009, hace posible que en Colombia las organizaciones cuenten con
unos parámetros normativos, pero a su vez la ley les brinda libertad para diseñar unas políticas
contables de acuerdo con la realidad económica, operativa, comercial y organizacional de cada
empresa, por tanto, las organizaciones son garantes de la gestión de todos los riesgos a los que
enfrenta interna y externamente.
Para el diseño específico de las políticas organizacionales hace falta el conocimiento de cada
aspecto a tratar en estas, desde el punto de vista informático es necesario revisar el tipo de
software y hardware a utilizar, el personal que lo operará, las funciones que hace cada
colaborador dentro del ambiente del network, el mercado donde se desarrollará, las operaciones
y los métodos que hace la organización en la internet, en general un estudio exhaustivo para
encontrar riesgos y poder gestionarlos de una manera óptima, para posteriormente combatirlos
una vez se presenten.
Estas políticas constituyen la carta de navegación de la organización en el día a día y en la
forma de hacer cada proceso dentro del ambiente informático, están diseñadas para mejorar los
procesos, cumplir la norma y defender a la organización de amenazas internas y externas.
Una vez se presenten delitos en la organización las empresas tienen la necesidad de reflejar
esa realidad en los sistemas contables de las mismas, hay dos opciones para esto, cuando la
empresa es víctima de un delito informático o cuando la empresa es la autora de uno.
En ambos casos para el reconocimiento debe haber un responsable, es decir si la empresa es
autora, debe haber una víctima con su respectiva denuncia y si la empresa es víctima igualmente
debe haber un tercero que ocasionó el daño.
Como segunda medida debe ser cuantificado el daño y debe haber un proceso penal que
respalda la ocurrencia del delito.
Debe haber un cálculo además de todas las erogaciones de recursos relacionados con el delito,
como gastos legales, papelería, honorarios, transporte, entre otros que apliquen.
Los valores deben calcularse lo más cercano posible a la realidad y actualizarse
periódicamente.
Estos valores deben estar en el estado de revelaciones con el mayor detalle posible para los
stakeholders.
Cuando todos estos parámetros se cumplan los valores quedaran en una cuenta de activos
contingentes cuando la empresa ha sido víctima y de pasivos contingentes cuando la empresa fue
la que ocasiono la conducta punible.

9. CONCLUSIONES
Existen una gran cantidad de técnicas utilizadas en el área informática para cometer delitos y
cada una de ellas tiene un nombre específico, también existen casos en los que se presenta una
combinación de dos o más de estas técnicas y constituyen una forma más sofisticada de
delinquir.
La legislación nacional hizo un breve resumen de las técnicas sobre los delitos informáticos,
sin embargo, estas describen la totalidad de los objetivos de estos delitos, por tanto, la norma
penal es clara y está actualizada de acuerdo con la realidad tecnológica actual.
Se pudo identificar que existen riesgos tanto de ser victima como de ser victimario en el
contexto de los delitos informáticos, esto se debe a la gran cantidad de factores externos e
internos que se deben tener en cuenta. En todo caso, estos riesgos se pueden mitigar en un
porcentaje considerable desplegando controles tales como: protocolos de seguridad, segregación
de funciones, parametrización de los sistemas de información, entre otros.
La contabilización de los delitos informáticos ocurre en el momento en que se hace efectiva
una demanda a favor o en contra de la organización por medio de un fallo judicial, mientras que
eso sucede se tienen previsiones y se hacen notas en los estados financieros.
Las políticas contables y operativas de la organización deben estar sustentadas en los
parámetros de seguridad informático sobre los ciberdelitos, cuando se tiene un completo
conjunto de estas políticas que gestionen la mayoría de los riesgos, la empresa cuenta con un
margen muy importante y representativo sobre la protección de sus recursos a través del internet.
10. BIBLIOGRAFÍA
CISCO. (2019). cisco.com. Obtenido de cisco.com:
https://www.cisco.com/c/es_co/solutions/enterprise-networks/enterprise-network-
security/index.html?
CCID=cc000009&OID=0&DTID=pseggl000015&POSITION=SEM&COUNTRY_SITE
=co&CAMPAIGN=sc-00&CREATIVE=CO_SEM_SEC_Security-SPA_PM_NB_NOA-
GGL_0_Observation_MLT-Cibersegu
Codigo Penal Colombiano, Ley 599/2000 (01 de 07 de 2000).
COLPRENSA. (15 de 05 de 2017). Vanguardia SAS. Obtenido de Vanguardia Web Site:
https://www.vanguardia.com/colombia/aumentaron-a-20-las-empresas-colombianas-
afectadas-con-virus-wannacry-MQVL397795
Computer Forensic. (14 de 01 de 2019). Recovery Labs Corp. Obtenido de Recovery Labs Web
Site: http://www.delitosinformaticos.info/delitos_informaticos/glosario.html
Duba, J. (19 de 12 de 2009). El Pais corp. Obtenido de El Pais Web Site:
https://elpais.com/diario/1999/12/19/sociedad/945558010_850215.html
ESET. (30 de 05 de 2018). El tiempo. Obtenido de El Tiempo Web Site:
https://www.eltiempo.com/tecnosfera/novedades-tecnologia/correo-falso-de-la-
registraduria-espia-a-los-usuarios-en-colombia-225274
Fiscalia General de la Nacion. (26 de 10 de 2017). Krimen y Korrupcion. Obtenido de Krimen y
Korrupcion web site: https://www.kienyke.com/krimen/asi-fue-el-robo-de-700-millones-
de-pesos-a-un-banco-colombiano
Herrera, S. (28 de 04 de 2018). Historia de La Informatica. Obtenido de Google site :
https://sites.google.com/site/informaticageneraldl/historia-de-la-informatica-1/la-
informatica-como-ciencia
Homero. (Siglo III a. C.). La Odisea. Atenas.
Homero. (Siglo VIII a. C). La Iliada. Atenas.

hot, line sat. (01 de 11 de 2010). Zona Virus . Obtenido de Zona Virus web site:
http://www.zonavirus.com/noticias/2010/nueva-tecnica-salami-de-fraude-a-tarjetas-de-
credito-prueba-que-tan-dificil-es-para-el-banco-detectarla.asp
IEEE. (2019). https://www.ieee.org.co/. Obtenido de https://www.ieee.org.co/:
https://www.ieee.org.co/
IMF BUSSINES SCHOOL. (6 de 2017). https://blogs.imf-formacion.com/. Obtenido de
https://blogs.imf-formacion.com/: ://blogs.imf-
formacion.chttpsom/blog/tecnologia/organismos-ciberseguridad-201904/
Laverde, J. (29 de 10 de 2014). El Millonario Fraude al BBVA. EL ESPECTADOR, pág. SITIO
WEB. Obtenido de https://www.elespectador.com/noticias/judicial/el-millonario-fraude-
al-bbva-articulo-524960
Ley 1273, 2009 (Congreso de la Republica 23 de 07 de 2009).
Ley 599, Articulo 9 (Conducta Punible 2000).
Ministerio de Defensa. (2016). colcert.gov. Obtenido de colcert.gov: http://www.colcert.gov.co/
Nacion. (28 de 12 de 2017). El cibercrimen en 2017: la amenaza crece sobre Colombia. Semana,
virtual. Obtenido de https://www.semana.com/nacion/articulo/cibercrimen-en-colombia-
balance-de-2017/551979
OAS ORGANIZATION. (08 de 2014). oas.org. Obtenido de oas.org:
https://www.oas.org/juridico/english/cyb_pry_convenio.pdf
Olaya, M. (27 de 08 de 2018). RCN Radio. Obtenido de RCN Radio Portal Web:
https://www.rcnradio.com/economia/sector-bancario-colombiano-ha-sufrido-mas-de-27-
mil-ataques-ciberneticos-en-el-ultimo-ano
Panda Media Center. (15 de 11 de 2013). Pandasecurity. Obtenido de Pandasecurity web site:
https://www.pandasecurity.com/spain/mediacenter/malware/que-es-un-ransomware/
Platon. (396 a. C). Dialogos de Platon. Atenas.
REDCIC. (01 de 2020). redcic.co. Obtenido de redcic.co: https://www.redcic.co/
Responsabilidad Bancaria en Delitos informaticos frente a sus Clientes, (SC1806-2015;
24/02/2015) (Corte Suprema de Justicia 24 de 02 de 2015). Obtenido de
www.cortesuprema.gov.co/corte/wp.../ci/.../SC1806-2015%20(2000-00108-01).doc
Semana. (2017). El cibercrimen en 2017: la amenaza crece sobre Colombia. Semana, virtual.
Obtenido de https://www.semana.com/nacion/articulo/cibercrimen-en-colombia-balance-
de-2017/551979
NOTA SOBRE LAS NIIF Y LOS DELITOS INFORMATICOS, (ACLARATORIA DEL
COMENTARIO DE LA BIBLIOGRAFIA):
Las NIIF no tratan de temas específicos como los delitos informáticos, dan conceptos muy
generales y los dividen en parámetros para poder clasificar una transacción o situación dentro de
una organización en unas cuentas o partidas que cumpla con esos atributos.
En este particular la NIIF habla sobre los activos y pasivos contingentes, que son entradas o
salidas de recursos de la empresa si un evento se hace realidad, en este caso específico la Norma
determina que la situación debe tener los siguientes atributos:
a) Debe haber un tercero afectado o afectante.
b) Debe medirse monetariamente la situación que constituye el delito.
c) Debe haber un proceso penal sobre el particular.
d) Se deben sumar todos los valores y conceptos que estén ligados a este proceso,
tales como gastos legales, asesorías, peritos, entre otros.

e) El delito se debe reconocer solo en las revelaciones de los estados financieros.
f) La valoración se debe hacer al final de cada periodo contable, mientras el proceso
no ha sido resuelto por la autoridad competente.
Estas cuestiones fueron expuestas en el desarrollo de los objetivos en el numeral 7.3
También es importante aclarar que no existe bibliografía que trate específicamente el tema,
las fuentes consultadas son guías sobre la clasificación y conceptualización de las mimas.

1MANEJO CONTABLE BAJO NIIF-DIANA MARCELA AGUDELO GALLEG 01-02-2020 Complementar Los Marcos

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

1MANEJO CONTABLE BAJO NIIF-DIANA MARCELA AGUDELO GALLEG 01-02-2020 Complementar Los Marcos

Cargado por

Copyright:

Formatos disponibles

MANEJO CONTABLE BAJO NIIF,

DE LOS COSTOS Y GASTOS RELACIONADOS CON DELITOS

DIANA MARCELA AGUDELO GALLEGO

UNIVERSIDAD DEL QUINDIO

MANEJO CONTABLE BAJO NIIF,

Proyecto presentado como requisito para optar al título de Contador Público

UNIVERSIDAD DEL QUINDIO

Esta monografía analítica trata sobre la contabilización de los delitos informáticos en un

para ilustrar los temas aquí tratados.

Desde el punto de vista informático se describen las técnicas o modalidades denominadas

en las organizaciones. Desde la óptica normativa, que se divide en la norma contable y en la

actividad y se pone en contexto con las organizaciones y el uso de las tecnologías de la

riesgos sobre ciberdelitos o delitos informáticos.

1. PLANTEAMIENTO DEL PROBLEMA........................................................................7

1.1. Formulación Del Problema......................................................................................11

1.2. Sistematización Del Problema.................................................................................11

2.1. Objetivos Específicos................................................................................................13

4. ESTADO DEL ARTE.....................................................................................................18

5.1 Marco Histórico o Antecedentes...............................................................................19

5.2 Marco Teórico............................................................................................................21

5.3 Marco Conceptual......................................................................................................28

5.4 Marco Legal................................................................................................................30

7. DESARROLLO DE LOS OBJETIVOS......................................................................38

7.1 Definición Y Descripción De Delitos Informáticos En La Legislación Colombiana

7.3. Contabilización Bajo NIIF De Los Delitos Informáticos Teniendo En Cuenta

7.4. Mecanismos Para La Prevención Y Creación De Políticas Contables Para La

Ilustración 2: Distribución De Victimas Delitos Informáticos En Colombia 2018______58

TABLA DE CONTENIDO DE TABLAS

Tabla 0- 2 Delitos informáticos código penal continuación..........................................................42

Tabla 0- 3 Contabilización NIIF cuando se es victima..................................................................62

Tabla 0- 4 Contabilización cuando no hay responsable................................................................62

Tabla 0- 5 Contabilización NIIF cuando se gana demanda..........................................................64

Tabla 0- 7 Actualización de la contingencia al cierre del periodo contable.................................66

Tabla 0- 8 Contabilización después de un fallo.............................................................................66

Tabla 0- 9 Relación de faltantes por fraude financiero.................................................................75

Tabla 0- 10 Discriminación de gastos relacionados al delito informático....................................76

Tabla 0- 14 Contabilización del gasto cuando se cometió el delito..............................................81

y la contabilización de los mismos bajo la Norma Internacional de Información Financiera

Surge debido a la necesidad de este conocimiento en la aplicación del mismo en el

ciencias de la información, en un mercado globalizado y unas transacciones financieras on line.

ejercicio contable y a la realidad económica de las organizaciones y citar las fuentes en la

1. PLANTEAMIENTO DEL PROBLEMA

almacenes físicos, entre otros ejemplos que se podrían citar.

Conforme la informática ha ido evolucionando, ha sido utilizada para distintas actividades

corresponsales bancarios, el almacenamiento de información en las organizaciones de manera

magnética mediante computadoras, el diligenciamiento de libros físicos en el área contable y

otras áreas de las empresas.

transacciones bancarias y comerciales a través de portales web y aplicaciones móviles, entre

la facilidad de encontrar en internet el conocimiento técnico para violar los protocolos

recursos financieros de las empresas.

En la actualidad las organizaciones son conscientes de la importancia de su información, pues

esta es la esencia de la empresa y la garantía del desarrollo de sus actividades en el tiempo, en

no se cometa alguno de los delitos informáticos.

contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas

informáticos” y el segundo nombrado “de los atentados informáticos y otras infracciones”. En

los 1500 salarios mínimos legales mensuales vigentes.

Actualmente la Dirección de Impuestos y Aduanas Nacionales también ha emitido

para hacer procesos de cumplimiento de las obligaciones de los contribuyentes, como la

presentación de declaraciones tributarias mediante el sistema interno MUISCA, la

electrónica, Ley 527 del año 1999, entre otras.

para implantar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información

de la empresa en el ámbito tecnológico además de ser muy importantes en la contextualización

determinante en la gestión de los riesgos inherentes a la aplicación de la tecnología, esto en un