Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Asesora:
LUZ AMPARO MEJIA CASTELLANOS
Mg. Ingeniería en Informática
RESUMEN
sistema contable bajo la Norma Internacional de Información Financiera (NIIF), está planteada
desde diferentes puntos de vista de manera tal que pueda ser una fuente de consulta completa
como delito informático, además de medidas de protección para gestionar el riesgo de ocurrencia
norma penal (esto con el objetivo de tener una visión más completa para abordar la temática), se
enuncian: la norma contable para el registro dentro de la organización y la norma penal para
contemplar las sanciones y el procedimiento ya sea cuando se es víctima o se comete este tipo de
irregularidades.
Se presenta, además, un caso hipotético sobre la comisión de un delito y otro sobre los
perjuicios por caer víctima de estos hechos punibles, se da una visión estadística sobre esta
información en sus operaciones cotidianas para la comprensión de las empresas a enfrentar estos
TABLA DE CONTENIDO
TABLA DE ILUSTRACIONES.............................................................................................5
TABLA DE CONTENIDO DE TABLAS..............................................................................6
2. OBJETIVO GENERAL.................................................................................................13
3. JUSTIFICACIÓN...........................................................................................................14
5. MARCO DE REFERENCIA.........................................................................................19
6. FICHAS BIBLIOGRAFICAS.......................................................................................32
7.2. Riegos Que Se Presentan En Las Empresas Según Los Delitos Informáticos.....51
7.4.1 Políticas contables para la gestión del riesgo del delito informático......82
8. ANÁLISIS MONOGRÁFICO.......................................................................................97
9. CONCLUSIONES.........................................................................................................105
10. BIBLIOGRAFÍA.........................................................................................................108
TABLA DE ILUSTRACIONES
Ilustración 1 Distribución Ciberdelitos 2018 En Colombia________________________56
Tabla 0- 6 Contabilización cuando se paga una demanda en caso de ser autor del delito...........64
Tabla 0-11 Contabilización NIIF de los conceptos incluidos en la afectación por delito
informático.....................................................................................................................................77
Tabla 0- 12 Detalle de los gastos incurridos por el tercero afectado por delito por parte de la
organización..................................................................................................................................79
Tabla 0- 13 Detalle de otros gastos relacionados por la empresa que cometió el delito
informático.....................................................................................................................................80
INTRODUCCION
Esta monografía analítica es una recopilación bibliográfica sobre los delitos informáticos
un sistema contable en organizaciones que están diariamente expuestas a este tipo de situaciones.
ejercicio contable de unas organizaciones que hoy en día están regidas por la tecnología y las
Se hace diseñando unos temas a tratar, recopilando bibliografía ponderante sobre estos
conceptos y haciendo un trabajo analítico para encajar de forma coherente los diferentes ítems
tratados.
Los resultados que se desean obtener de la realización de este trabajo es una fuente de
consulta práctica, con un lenguaje sencillo de fácil comprensión, contextualizando las normas al
redacción del mismo para dar confianza al lector sobre la base teórica y legal de los temas
tratados.
Durante las últimas tres décadas el mundo ha experimentado una revolución de la informática
y la tecnología, tanto así que en los años 70 muy pocos podían imaginar acertadamente como
serían tecnológicamente los años 2000 en adelante. Hay cosas sorprendentes, por ejemplo, las
aplicaciones para comunicación escrita que cuentan con la capacidad de compartir archivos de
distintos formatos tales como fotos, videos, música, archivos de texto, entre otros. Los servicios
streaming que están reemplazando la televisión tal como se conoce, las plataformas e-commerce
como Amazon o Mercado Libre que están dejando de lado las compras en centros comerciales y
como transacciones virtuales que reemplazaron la tarea de girar cheques o acercarse a los
En este contexto, los delitos informáticos en las organizaciones son un tema que ha venido
adquiriendo suma importancia, sobre todo si se tiene en cuenta el incremento del uso por parte de
las empresas de internet, usos tales como: almacenamiento de información en la nube, las
otros. Esto sumado al incremento de personas dedicadas a vulnerar estos sistemas, alentados por
informáticos de seguridad y así hurtar información que se pueda vender, tal como bases de datos
de clientes o similares, también hacer fraudes a través de una computadora para apropiarse de
este sentido, es importante que se diseñen estrategias para evitar la victimización, mecanismos
que cumplan las normas contables vigentes y la legislación actual, garantizando que por omisión
En Colombia, en el año 2009 el congreso aprobó la ley 1273 sobre delitos informáticos y se le
adiciona al código penal el Titulo VII denominado “de la protección de la información y de los
datos” que a su vez se divide en dos grandes capítulos, el primero llamado “de los atentados
esta jurisprudencia se describen las conductas que son consideradas delitos y las penas por
incurrir en ellas que van desde los 32 hasta los 120 meses de prisión y multa desde los 100 hasta
requerimientos que afectan a las empresas y que los obliga a utilizar plataformas tecnológicas
implementación de la factura electrónica mediante la Ley 1819 del año 2016, la firma
En este punto, cabe resaltar que también existen una gran cantidad de estándares que apuntan
hacia la seguridad de la información, entre estos podríamos destacar la norma ISO/IEC 27001,
que es un estándar para la seguridad de la información y que especifica los requisitos necesarios
lo que se requiere tener, la metodología es la que implementa y desarrolla las actividades con las
que se cumplen dichos requisitos. Estas metodologías son primordiales en cuanto a la protección
del problema, sin embargo, no son el objeto de este trabajo cuyo enfoque es contable.
Teniendo en cuenta este marco, la contabilidad y las normas que la rigen toman un papel
contexto en el que la universalización de las TICs está dada por la accesibilidad en cuanto a
costos, los avances en cuanto a desarrollo de software que simplifican procesos contables, la
algoritmos de IA (Inteligencia Artificial) que permiten considerar una gran cantidad de variables
que la norma contable obliga, por definición, incluir dentro de los estados financieros recursos
que estén en riesgo de perder en el trascurrir del tiempo, el omitir esta información podría
ocasionar que los stakeholders no tengan suficientes parámetros de juicio para tomar decisiones,
lo que a la larga les estaría ocasionando un perjuicio y estaría además en peligro el principio de
negocio en marcha que está contemplado en el marco de la lay 1314 de 2009 que son la adopción
Estos riesgos informáticos a los que están expuestas las empresas hoy en día y que no
distinguen ni tamaño ni sector productivo, se deben a varios factores entre los cuales se
considera importante resaltar: el acceso a internet en el universo empresarial y la ventaja
pequeños como memorias flash, smartphones, discos duros externos, etc.; plataformas de
lugar con un acceso internet, las redes sociales como plataforma de comercialización de bienes y
servicios. A esto se deben sumar situaciones como: el bajo conocimiento por parte del personal
violación de vulnerabilidades de sistemas informáticos, entre otras situaciones que están fuera
Para entender mucho mejor este problema y lo que conlleva se pueden tener en cuenta casos
como el de JP Morgan que en 2012 sufrió el robo de la información de setenta y seis millones de
caso de un funcionario del British Home Office que decidió descargar la información de ochenta
y cuatro mil presos de una cárcel en Gales en una memoria flash para realizar un mantenimiento
soldado de veintidós años Bradley Manning filtró a través del portal WikiLeaks (Propiedad de
Julián Assange) más de setecientos mil archivos confidenciales propiedad del gobierno
políticas y protocolos para mitigar y gestionar los riesgos inherentes a los delitos informáticos,
esas políticas están enmarcadas dentro de las NIIF, tal como el principio de Negocio en Marcha
Es por esto que se considera este trabajo de suma importancia en el ejercicio cotidiano de la
¿Cómo se contabilizan los delitos informáticos bajo NIIF y que políticas contables
¿Cuáles NIIF están relacionadas con los delitos informáticos y por qué?
¿Cómo se definen y describen las técnicas utilizadas para cometer delitos informáticos y qué
políticas contables para la gestión del riesgo de estos, se pueden crear con base en ello?
¿Cómo se hacen los registros contables de cada uno de estos delitos, de los que la empresa
Formular parámetros para el manejo contable bajo las Normas Internacionales de Información
Financiera (NIIF) de los costos y gastos relacionados con delitos informáticos en las empresas.
informático.
Identificar los riesgos que se presentan según los delitos, fraudes y robos informáticos.
3. JUSTIFICACIÓN
organizaciones, es importante que las empresas comprendan el entorno actual para poder diseñar
políticas que las protejan de los riesgos latentes de cometer o ser víctima de conductas
conductas o acciones que la legislación considere como punibles, como por ejemplo la
Las empresas deben tener el conocimiento de la contabilización de estas conductas, bajo los
parámetros contables actuales que son las Normas Internacionales de Información Financiera
(NIIF) esta necesidad de ese conocimiento, se funda en la exposición a los delitos informáticos,
esto por la obligación que actualmente tienen las empresas de utilizar las TIC en sus procesos,
ofimática, domótica, constituyen un desafío para las personas y organizaciones y una ventaja
En teoría la contabilidad debe plasmar la realidad económica de las empresas, el total de las
transacciones que ésta hace dentro o fuera de su domicilio, es una función que representa el
bienestar a los miembros de un estado, por tanto si no se registra todas estas transacciones estaría
comenzando por sus colaboradores puesto que no se tiene el dato de la realidad económica de la
perdida de información relevante, sanciones de los entes de control por omisión de información,
entre otras situaciones que no justifican el actuar del Departamento Contable, puesto que el
complemento excelente para la consulta, dado que cobija la norma y como se plasma está en la
El hecho que una empresa tenga una base de datos con la información personal de sus
Duplicar esta información personal para fines distintos a los descritos en el contrato laboral o en
el oficio sobre autorización es otra conducta punible, esta violación se menciona, en primer
lugar, para demostrar la facilidad con la que se puede caer en infracciones descritas en el código
penal.
obliga a las empresas a hacer sus transacciones monetarias a través de las entidades financieras,
utilizando herramientas como cheques, tarjetas débito o crédito, títulos valores y la más utilizada
que son las transferencias entre cuentas bancarias, enfrentando así a las entidades a formas de
Los delitos informáticos están compuestos por diferentes modalidades de acción, que están
Los delitos informáticos son considerados por el estado como conductas que van en
detrimento de la propiedad privada, la honra y el bien común, estos delitos son: Estafa,
identidad, delitos contra la propiedad intelectual, entre otros. Los delitos informáticos tienen
distintas formas, como suplantar sitios legítimos por unos casi iguales y que tiene como objetivo
Se puede evidenciar que algunas prácticas que constituyen delitos informáticos tienen una alta
probabilidad de ocurrencia en las empresas modernas. Por esto, las organizaciones incluyen en
importancia del conocimiento para registrar en sus sistemas contables determinados delitos, que,
aunque se utilizó la informática para cometerlos, el concepto y la naturaleza del mismo hacen
Los sistemas contables en las organizaciones son el mecanismo para plasmar la realidad de la
empresa en medios electrónicos que tienen hoy en día jurídicamente el mismo valor que los
físicos hace unos años, por tanto la ocurrencia de delitos informáticos hace parte de la realidad
de la compañía y por ende deben estar incluidos en su contabilidad; razón por la cual es
primordial que los colaboradores en el área contable y financiera tengan el conocimiento para
Este trabajo está enmarcado en el periodo de tiempo comprendido entre los años 2009 y 2019.
Esto se debe a que la ley marco sobre los delitos informáticos (Ley 1273) se decretó en 2009.
Se desarrolla, además, en el universo empresarial de Colombia en el que de la misma manera
Información Financiera (NIIF). Esto con el fin de cumplir con los estándares de calidad en el
Así bien, la DIAN estableció un criterio de medición para dividir el total de las empresas en
tres grandes grupos, de acuerdo con su similitud o diferencia, tamaño, número de trabajadores, si
están asociados con empresas extranjeras, si cotiza en bolsa de valores, si es una empresa de
Estos tres grandes grupos están obligados a la aplicación de las NIIF en una mayor o menor
proporción, el grupo uno que son empresas grandes, cotizan en bolsa de valores, está obligado a
acogerse al 100% de las NIIF, el grupo dos que abarca más del 90% de las empresas del país está
en un punto intermedio en la aplicación del total de las NIIF y finalmente el grupo tres solo debe
Grupo 1:
NIIF.
Según el decreto 2784 este grupo de empresas deben aplicar las NIIF plenas.
Grupo 2:
Son empresas que no cumplen con los parámetros del grupo 1, no cotizan en bolsa
Tienen activos totales entre 500 y 30.000 SMMLV. Y tiene una nómina entre 11 y
200 trabajadores.
que cuentan con una planta de nómina de máximo 10 trabajadores y que en ambos
Estas empresas constituyen el 99% del total de las empresas industriales en el país, también se
normativo contable menos complejo, es decir sin la totalidad de los estándares internacionales
Grupo 3:
Menos de 10 trabajadores.
Este grupo no está obligado a acogerse a las NIIF si no aplica las NIF (Normas de
Información Financiera) que son normas más abreviadas a la hora de emitir los estados
miembros de la unión europea que busca la cooperación entre sus firmantes para
combatir los delitos informáticos relacionados contra los derechos de los niños, las
En años recientes hubo países de otras latitudes fuera de la unión europea que se
Hay países que crearon organismos específicos para combatir los delitos informáticos,
tales como: España donde esta función la cumple Instituto Nacional de Ciberseguridad
de las Naciones Unidas contra la Droga y el Delito (UNODC) que tiene una división
iniciativas privadas sin ánimo de lucro, donde expertos se dedican a combatir este tipo de
IMF17 \l 9226 ]
En Colombia existe una institución legalmente creada como entidad sin ánimo de lucro
como objeto social distintas misiones entre las cuales: [ CITATION RED20 \l 9226 ]
para fomentar las buenas prácticas en el manejo seguro de los diferentes tipos de información.
de la información.
Ciberseguridad.
comunidad en general.
ciberdelito, por lo que constituye una fuente confiable para citar cifras y conceptos de la realidad
El estado colombiano a través del ministerio de defensa tiene una división llamada Grupo
informar sobre actualizaciones recomendadas por fabricantes para el mejor uso de las tecnologías
y adicional a ello crea grupos para enfrentar amenazas, también genera boletines sobre temas de
sobre riesgos de sus equipos y la manera de enfrentarlos de forma eficaz para evitar la
A nivel local la Ciberseguridad está dividida en privada y pública, el sector publico está
informática y periódicamente realiza auditorias, mientras que el sector privado está protegido por
Las Normas Internacionales de Información Financiera (NIIF son sus siglas en español –
IFRS son sus siglas en inglés) son un conjunto de normas contables emitidas por el Consejo de
Normas Internacionales de Contabilidad (IASB son sus siglas en inglés) con el fin de
estandarizar la aplicación de normas contables en el mundo y así lograr que sean globalmente
Las NIIF fueron acogidas en Colombia en el año 2009 mediante la ley 1314 y particularmente
este trabajo se enfocará en lo concerniente al tratamiento de los delitos informáticos, para ello se
Provisiones: son pasivos o activos de los cuales no se tiene certeza sobre su valor
indeterminado.
Contingencias: Son situaciones que al cierre de un periodo contable no son
ciertas, depende de hechos futuros o variables que la hacen cierta, ejemplo una
legales y técnicos.
funciones entre los colaboradores de una organización de tal manera que permita
Delito: son acciones contrarias a la ley, están determinadas por esta como delitos
cuenta en la ley 1273 de 2009 y cuya comprensión será vital a la hora de leer este trabajo.
información.
en perjuicio de un tercero.
determinadas para tener una relación simbiótica con el software y poder funcionar
mismas.
PARAMETRO: es una guía para ejecutar una acción, detalla los pasos a seguir en
de una transacción de una naturaleza particular y que está en sintonía sobre la ley
generar informes, además de cumplir con las leyes que haya lugar.
atributos y tienen una función específica, una aplicación, pero diferentes tareas
de pasos que hacen un conjunto único y diferente a los demás para cometer delitos
informáticos.
VICTIMA: tercero que fue perjudicado por un tercero que cometió una acción, la
VICTIMARIO O AUTOR: tercero que realiza una acción que la ley considera
delito.
están soportados los códigos penal, civil y comercial que a su vez determinan la
se consideran delitos.
Código Penal Colombiano: Titulo VII “De La Protección De La Información y los
Datos” donde establece la descripción de los delitos y las penas a las que están expuestas
Ley 1273 de 2009, rige actualmente el marco jurídico de los delitos informáticos, esta ley
contiene dos capítulos que enmarcan el universo de las conductas tipificado como delitos.
considera los conceptos tratados en el marco teórico en el bloque tres y se denomina “De
Ley 1314 de 2009, mediante la cual Colombia se acoge a las Normas internacionales de
donde se expresan las concepciones aquí contenidas y además se describen los principios
CTCP (Consejo Técnico de la Contaduría Pública) y algunos conceptos emitidos por este
en la realidad del mercado colombiano y adicional a ello emitir conceptos y aclarar dudas
Temas:
Concepto de Empresa.
site: https://economipedia.com/definiciones/sector-terciario-servicios.html.
Temas:
https://www.eluniversal.com.co/opinion/buzon/empresas-prestadoras-de-servicios-publicos-
75345-PUEU158263.
Temas:
Tendencia de la ciberseguridad.
Temas:
Normas Aplicables a los activos, pasivos y Resultados. Bogotá: Consejo Técnico Contaduría
Pública.
Temas:
financiera de aceptación mundial - alcance del articulo 15 ley 13 - 14 del 2009 Pág. 1,5.
Internacionales del Sector Publico (Vol. Vol. 1 y Vol. 2). Bogotá: CGN.
Temas:
http://deloitte.com/view/es_co/co/48185724a82fb110VgnVCM100000ba42f00aRCRD.htm
Temas:
Dr. Cartier, E. D. (1992). Teoría General del Costo. La Habana, Cuba: F.C.E.-U.B.A.
Temas:
Javeriana.
Tema:
de-transporte.php
Temas:
Galán, J. (1 de junio de 2018). EAE Bussines School, U. Obtenido de EAE Bussines School,
U: https://economipedia.com/definiciones/servicio.html
Temas:
Temas:
Temas:
Grupo Redacción Gerencia. (22 de 09 de 2017). Gerencia Org. Obtenido de Gerencia Web
site:
https://www.gerencie.com/que-es-un-sistema-de-costos.html
Temas:
Que es un sistema.
Denominación sistema.
Thomson.
Temas:
Temas:
Temas:
Tipos empresas.
Características empresas.
Categorías empresas.
https://actualicese.com/actualidad/2015/11/11/costos-y-gastos-diferencias-según-el-estandar-
internacional/
Temas:
https://www.portafolio.co/ xpansió/colombiana-la-prevalencia-de-los-sectores-de-servicios-
508646
Temas:
Tema:
http://www.expansion.com/blogs/en-el-ave/2011/11/27/la-economia-de-servicios-y-su-impacto-
en.html.
Tema:
Toro López, F. (2010). Costo ABC y Presupuesto. Buenos Aires: Ecoe Ediciones.
Temas:
Vásquez, R. y. (2014). Aplicación por Primera vez de las NIIF. Bogotá: LEGIS. Doi: 978-
958-767-120-9
Seguridad Digital. Del año 2017, su autor Kyung, shick Choi y que trata sobre protocolos y
Temas:
Seguridad Informática Básica: año 2010 su autor Álvaro Gómez, en este libro trata
sobre una descripción detallada de los principales aspectos para tener en cuenta a la hora de
Temas:
delitos informáticos.
NIIF 21: Provisiones y Contingencias: norma que trata específicamente los conceptos
de la entidad que informa, la clasificación de las partidas involucradas en estos hechos punibles
como contingencias pasivas o activas, el reconocimiento contable, la medición al cierre del año
orden, dicha característica es relativa a la cultura, territorio o estado, es decir, este tiene variables
orden constitucional y jurídico, que vaya en concordancia con su visión de territorio y que de la
misma manera brinden bienestar social, económico, cultural y además protejan los derechos
fundamentales de los habitantes dentro del mismo. En las sociedades contemporáneas ese
órgano estatal es el encargado de decretar leyes que son líneas conductuales en las distintas
aristas de la realidad de un país soberano, como el aspecto social, cultural, educativo, comercial,
administrativo y demás.
Dentro de los estados también hay personas, grupos de personas y organizaciones que están
en contra de ese orden, por distintos intereses y razones, por ejemplo, los anarquistas por su
ideología del caos y su creencia que el ser humano no necesita ser coaccionado, algunas personas
se ponen en contra por un fin económico o alguna otra ventaja que vaya en contravía del estado
de derecho.
Es por esto que es importante que el estado diseñe estrategias para sancionar a los que vayan
en contra de las prioridades del mismo, previniendo que las conductas delictivas se conviertan en
costumbres y se salgan de control. Para este propósito se ha creado el derecho penal, que es un
compendio de leyes que están unidas con otros códigos de leyes. En este contexto, en el derecho
comercial (para dar un ejemplo) se establecen las normas para funcionar en el aspecto económico
del país, sin embargo, una parte del código penal establece sanciones a situaciones del entorno
económico, por tanto, el derecho penal es el soporte coercitivo de los demás tipos de
legislaciones.
El derecho en Colombia establece como delito la acción realizada de forma voluntaria o por
imprudencia que va en contra del derecho y la dignidad humana, la ley 599 de 2000 establece
que “Para que la conducta sea punible se requiere que sea típica, antijurídica y culpable. La
Para que la conducta del inimputable sea punible se requiere que sea típica, antijurídica y se
segundo término del macro concepto que se quiere establecer como el objetivo específico de este
trabajo.
En general se asocia a la informática con dos partes, una física y la otra lógica, la primera
(también denominada hardware) está compuesta por elementos tangibles tales como: cables,
discos duros, procesadores, entre otros, y tienen unas características eléctricas y electrónicas que
la intangible (conocida como software) que es la información como tal, organizada en estructuras
lógicas. Esta tiene la ventaja de hacer cálculos a gran velocidad en comparación a la capacidad
Aunque el código penal mediante el Titulo VII que anexó la ley 1273 no contienen un
concepto jurídico genérico para delito informático, si describe las conductas criminales clásicas
como estafa, robo, sustracción, daños a la honra y el buen nombre, entre otros. Pero en cuya
La siguiente tabla describe las conductas específicas que son consideradas como delitos
informáticos:
además la pena de cada uno, adicionalmente también se enuncian unos agravantes que hacen más
fuerte la pena, debido a que se contemplan abuso de confianza, mala fe, premeditación que son
269D DAÑO INFORMÁTICO El que, sin permiso, dañe, altere, Incurrirá en pena de prisión
modifique o someta a algún proceso de de cuarenta y ocho (48) a
cambio un sistema informático o la noventa y seis (96) meses y
información contenida en el mismo. en multa de 100 a 1000
salarios mínimos legales
mensuales vigentes.
269E USO DE SOFTWARE El que sin estar autorizado cree, Pena de prisión de cuarenta y
MALICIOSO. distribuya o utilice software malicioso, ocho (48) a noventa y seis
como virus, spyware, gusanos, troyanos (96) meses y en multa de 100
entre otros. a 1000 salarios mínimos
legales mensuales vigentes.
269F VIOLACIÓN DE El que, sin permiso, utilice para Pena de prisión de cuarenta y
DATOS PERSONALES. beneficio propio o de un tercero, datos ocho (48) a noventa y seis
de individuos sin la autorización de (96) meses y en multa de 100
estos, la obtención de estos datos a 1000 salarios mínimos
constituye un abuso, incluso legales mensuales vigentes.
empleadores que usen los datos de sus
colaboradores para fines diferentes al
establecido en el contrato laboral,
incurrirán en la violación de estos.
Fuente: autor original
anexó el título VII BIS denominado “De la protección de la información y de los datos” sobre los
delitos informáticos es muy clara y específica en lo concerniente a los delitos informáticos por
tanto se cita de manera textual y posteriormente se hará un comparativo con las metodologías
ingresar sin permiso del dueño o responsable a un sistema o que teniendo permiso se extralimite
y sustraiga información de este, la sanción para este delito es prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y una multa de entre cien (100) y mil (1000) SMMLV.
sanción para este delito es prisión de cuarenta y ocho (48) a noventa y seis (96) meses y multa de
orden judicial, intercepte datos en su fuente, medio o recepción final. La sanción es de entre
Articulo 269d DAÑO INFORMATICO. Se refiere a que, sin permiso, se dañe, altere,
contenida en el mismo. La sanción es la prisión entre cuarenta y ocho (48) y noventa y seis (96)
software malicioso, como virus, spyware, gusanos, troyanos entre otros. El que incurre en este
delito tiene penas de prisión de entre cuarenta y ocho (48) a noventa y seis (96) meses y multa de
utilicen para beneficio propio o de un tercero, datos de individuos sin la autorización de estos, la
obtención de estos datos constituye un abuso, incluso empleadores que usen los datos de sus
de estos. La sanción para este delito es de prisión entre cuarenta y ocho (48) a noventa y seis
PERSONALES consiste en la diseñe, desarrolle, ejecute, trafique, envíe páginas web clonadas de
entidades o personas, enlaces o ventanas emergentes, con el ánimo de cometer Phishing u otra
ningún contacto con usuarios. La pena será de 48 y 96 meses y multas de 100 A 100 SMMLV
Básicamente, son agravantes que están relacionados con los delitos y que hacen que las penas
sean mayores ya que determina premeditación. El primer agravante es que el objeto del delito
sean redes o sistemas públicos de propiedad del estado; en segundo lugar, que el delito sea
realizado por un servidor público en ejercicio de sus funciones; tercero, que el delito sea
realizado aprovechando la confianza depositada por parte de la empresa o dueño legítimo del
sistema de información; cuatro, que se dé información en perjuicio de un tercero; quinto, que
mediante el delito, se obtenga beneficio para el infractor o un tercero; sexto, que se cometa el
delito con fines terroristas o generando riesgo en la seguridad nacional; séptimo, utilizando la
del sistema donde se cometió el delito, para este punto también está la sanción de no poder
ejercer cargos similares en el área de informática durante un periodo de tres (3) años.
manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio
establecidos, las sanciones son las del artículo 240 del código penal colombiano.
ejemplo, el abuso de confianza de la víctima para obtener esos datos que hicieron posible el
daño. La sanción para este delito es de entre cuarenta y ocho (48) y ciento veinte (120) meses de
prisión y multa de entre cien (100) y mil (1000) SMMLV, además si el valor del activo
código malicioso, que ocultaba la amenaza y así, al ejecutarse, obtenía los datos
Durante el año 2017 hubo una infección a nivel mundial de un virus llamado
WannaCry, que en español traduce “quiero llorar”. Se estima que afectó a unos
doscientos setenta mil (260.000) equipos en ciento setenta y nueve (179) países.
Colombia no fue ajena a este ataque, incluso el portal del ministerio de las TIC
fue afectado y tuvo que suspender sus servicios. También según declaraciones de
la SIJIN, hubo al menos veinte grandes empresas que fueron atacadas, las
poner esa fecha ninguna sospecha recaería sobre él. La bomba consistía en dañar
adicionales a centros de costo, por lo que el daño sería significativo desde el punto
responsable del delito informático y recibió una condena la cual fue removida
debido a que la bomba lógica no logro su cometido pues se descubrió antes de que
dólares y representó casi el cinco por ciento del total hurtado en el mundo
mediante esta modalidad, según la firma citada anteriormente, cinco de cada seis
veintiocho por ciento. Apareció además una nueva modalidad de daño a terceros,
especialmente niños, como es el caso del reto de la ballena azul, que nació en
Rusia y se esparció por todo el mundo. Este consistía en plantear retos que
suicidio, en el país se registraron quinientas ocho alertas sobre este reto. Así
permitía violar la seguridad del banco y acceder a las bases de datos de los
entre los veinte y los treinta millones de pesos. El CTI logró desarticular la red
incluso años atrás había trabajado para la SIJIN en la misma área y que tras su
Los sistemas de seguridad informáticos de los bancos suelen ser de los más eficientes del
mundo, sin embargo, las fallas se evidencian en: la ética de sus colaboradores; en la mala
definición de los procedimientos para hacer trasferencias, autorizar pagos de cheques y compras
con tarjetas por medios electrónicos; el aprovechamiento de los empleados con acceso
privilegiado al sistema de información para la sustracción recursos de terceros; entre otros
factores asociados a la gestión humana. Para poder llevar a cabo delitos informáticos en
a la logística que requiere cometer un delito contra sistemas de seguridad robustos. A las
personas implicadas en estos delitos se les acusa penalmente por concierto para delinquir. Es por
esta razón que en la mayoría de los robos que se hacen a las entidades financieras, los titulares de
los productos defraudados son inocentes, por tanto, cabe señalar que la corte suprema de justicia
responsabilidad por estas acciones y, en estos casos, el banco debe probar la culpabilidad del
usuario. Así pues, el banco debe responder económicamente con una suma igual a la sustraída a
la persona natural o jurídica para reparar el daño en la menor brevedad posible.[ CITATION
Cor15 \l 9226 ]
anuncios por parte del usuario, para generar estudios de consumo y poder diseñar
Backdoor: en principio se refiere a una puerta trasera, es una función del código
accedan a la información.
que suceda un evento especifico que está escrito en sus líneas de programación,
como una hora exacta, una tecla específica, entre otras, al producirse esta
muchos otros.
anteriormente.
Dialer: es un programa que hace que se modifiquen los datos para acceder a la
al usuario sobre la instalación del mismo, el objetivo de esta es que las personas
que tienen acceso al equipo paguen unos sobrecostos por servicios de llamadas o
Exploit: es un programa que tiene como fin escanear las fallas de seguridad de
otros programas para acceder a estos y hacer algo específico, como borrar u hurtar
en forma de correos electrónicos y que tiene como fin colapsar los sistemas de
de los mismos.
fallas,
recursos transables.
contactos para posteriormente enviar otros correos donde están adjuntados virus,
equipo específico y lo que hace es hacer unos archivos donde se puede visualizar
conjunto de programas que tienen como fin usurpar, sustraer, dañar o cometer
manera ilegal.
correos falsos de entidades de confianza tales como bancos, tiendas, entre otros,
web, detrás del mensaje spam hay motores para recopilar bases de datos, buscar
los mensajes enviados son personalizados para el receptor y este pueda ser
toda la información del usuario donde se instala, como sitios que visitó, correos
usuario como la pareja o en sitios de trabajo para tener más control sobre el uso de
mismo es un programa que aparentemente tiene una noble función a los ojos del
usuario, pero internamente está buscando apoderarse del control del equipo y de la
7.2. Riegos Que Se Presentan En Las Empresas Según Los Delitos Informáticos.
En la actualidad, tanto las empresas como las personas utilizan los sistemas de información
Esto, sin ninguna duda, implica riesgos que son inherentes a la tecnología y que deben ser
En concreto para el sector empresarial, existen unas características que los sistemas de
información deben cumplir como mínimo para garantizar el correcto funcionamiento de las
- Integridad, que indica que los sistemas entregan información clara, confiable,
Para hablar de los riesgos de las empresas es muy importante tener en cuenta estos tres
propiedad que permite identificar al autor de la creación, así como de los cambios realizados en
los sistemas de información, esto con el objetivo de realizar un posible rastreo de acciones
delictivas. Para este caso, se considera que esta característica está implícita en la integridad.
complejo y conlleva la ejecución de una serie de pasos en un proceso iterativo basado en el ciclo
PHVA (Planear, Hacer, Verificar y Actuar) en el cual se deberían realizar las siguientes
actividades:
Definir los activos de información (que se refiere a los sistemas de información que la
empresa tiene) y clasificarlos en tipos de activos, por ejemplo: Activos Esenciales que se
refiere a la información que se maneja y al servicio que esta presta, datos personales que
son los datos de personas (usuarios, clientes, etc.), arquitectura del sistema que es la
definición de la construcción del sistema informático y sus relaciones con otros, datos
datos relacionales, datamart, etc.), claves criptográficas que son para proteger
redes de comunicaciones, soportes de información (back ups, cintas, entre otros), equipos
Dimensionar el valor que tiene para la compañía cada activo de información, tratando
Identificar los criterios de valoración de estos activos (Hay más valor en el sistema de
activos.
causados deliberadamente.
manera deliberada se elimina información o dañan las bases de datos, afectando así la
disponibilidad.
realicen configuraciones erradas en los sistemas informáticos con el fin de causar daños a
Mala definición de funciones: es uno de los riesgos más típicos ya que implica que ya que
malicioso dentro de la organización, este es otro de los riesgos más comunes, y puede
y la confidencialidad.
del software que pueden ser utilizados por inescrupulosos, esto puede afectar tanto la
Robo de equipos: Otro de los riesgos más comunes, ya que incluye el robo de equipos
Este riesgo puede generarse por una persona tanto interna como externa a la
afectando la confidencialidad.
cómputo para realizar actividades ajenas a los intereses de la organización, esto puede
confidencialidad.
confidencialidad.
Ataque destructivo, que trata los temas referentes a vandalismo, terrorismo, acción
militar, asonadas, entre otros, que causen la destrucción de equipos de cómputo. Este
acciones indebidas sobre los sistemas de información. Esto podría afectar tanto la
integridad y la confidencialidad.
los riesgos en forma de ciberdelitos. Para ello se tienen las siguientes gráficas:
En la gráfica No.1. se puede apreciar que el acceso abusivo a los medios informáticos es el
ciberdelito predominante al estar presente en sesenta de cada cien casos en el año 2018. Esto
implica que las compañías requieren reforzar las medidas de control interno creando mecanismos
que prevengan este tipo de conductas, así como la implementación de métodos de control en las
informáticos entre ambas representando treinta de cada cien casos. Para este tipo de delito la
solución es tal vez un poco menos compleja, ya que se requiere implementar de manera adecuada
protocolos de seguridad más fuertes en lo concerniente al uso de las redes, así como en la
actualización de los sistemas operativos, esto se logra al mantener una comunicación constante
En la gráfica No 2 se puede evidenciar que las personas naturales son las principales víctimas
de los delitos informáticos, representando el sesenta y seis por ciento. Sin embargo, las
organizaciones representan el cuarenta y cuatro por ciento, siendo el sector financiero el objetivo
De las dos gráficas podemos inferir que las personas son el eslabón débil de la cadena en lo
que a seguridad informática se refiere, esto se puede decir basado en que las personas son las
principales víctimas de los ciberdelitos y que en las empresas el acceso abusivo a medios
En las NIIF se hace referencia a parámetros para la contabilización de los delitos informáticos
y se debe complementar con la norma tributaria, esto teniendo en cuenta que existe la necesidad
descontables del impuesto de renta, debido a que estos son gastos en los que incurre la
organización y en el estado de resultados una vez cumpla las exigencias de las normas para estar
en esas partidas, constituyen un deducible para la utilidad del ejercicio, o si por el contrario
recursos que ingresaron a la entidad en el año gravable son el resultado de periodos contables
anteriores.
financieros y contables que son de obligatorio cumplimiento en países que están implementadas,
estas normas son a nivel internacional y se manifiestan en los estados financieros y sistemas
contables de las personas naturales o jurídicas que llevan contabilidad, en Colombia se acogieron
mediante la ley 1314 del año 2009 y su obligatorio cumplimiento empezó a regir desde el 31 de
Las NIIF son principios generales constituidos por parámetros para la clasificación de las
transacciones dentro de un sistema contable, también es importante señalar que son adaptativas
para permitir a las organizaciones moldearlas de acuerdo a sus necesidades contables, pero
cumpliendo unos principios que ayudan a que hayan atributos como homogeneidad y
comparabilidad entre periodos de una misma empresa y entre distintas empresas sin importar el
enmarcados los delitos informáticos cometidos por la entidad o sus funcionarios y que en un
En el módulo 21 de la sección 2 de las NIIF para pymes habla sobre las provisiones y
tiempo en que ese pasivo por contingencia será exigido a la organización, por tanto se debe tener
una política para evaluarlo y contar con el apoyo de un experto de acuerdo a la naturaleza de la
contingencia para poder cuantificarlo, por ejemplo: si es un pleito legal donde la empresa es la
demandada entonces será un profesional en derecho quien sea la persona idónea para calcular la
cuantía, el tiempo y el desenlace del proceso judicial, sin embargo no es un cálculo exacto, por lo
que la norma determina que se debe poner en el estado de revelaciones explicando el proceso y
el estado del proceso, ya que constituye una información relevante para los stakeholders. Los
Igualmente esta sección 2 determina los activos contingentes que son posibles beneficios
contingentes igualmente se hacen con base en políticas con parámetros para medirlos y
protocolos específicos para tal fin, la empresa además debe también acudir a peritos en
revelaciones siendo muy ilustrativo y en algunos casos también provisionados en los otros
mismo la contabilización carece de soporte, esta condición en cuanto a los delitos contables es la
respectiva denuncia, como demandante en los activos contingentes y como demandada en los
pasivos contingentes, este tipo de denuncias siempre van acompañadas de una valoración de los
En la contabilización bajo las NIIF es importante ver un caso representativo y estudiar las
La empresa ABC fue víctima de un delito informático, específicamente phishing, por el cual
capturaron sus usuarios y contraseñas para ingresar a sus cuentas de banco, esta situación le
En este punto la empresa no puede hacer ningún asiento contable ya que no se tiene la
información completa, es decir se desconoce el autor del delito para hacer una denuncia.
Una vez exista un tercero del cual se le atribuya el delito se puede hacer el asiento, aunque
existe una sentencia de la corte suprema de justicia que obliga a las entidades financieras a pagar
los montos hurtados mediante la modalidad de delito informático y sobre estas entidades cae la
Una vez identificado el problema y exista un proceso jurídico para el mismo la entidad puede
hacer el registro de la perdida de los recursos. Pueden existir más de una situación o forma de
hacerlo.
a) La empresa puso la denuncia y el departamento jurídico indica que la probabilidad
de tener esos recursos de vuelta es alta y que además se le pueden atribuir los
BANCOS 80.000.000
así:
En esta forma de contabilización se puede intuir que el resultado del ejercicio está afectado
por la pérdida, por tanto, el impuesto de renta también será inferior a pagar.
víctima de un delito informático, sin embargo, hay otras cuentas que son más
complejas en su cuantificación, en estas, encontramos los intangibles (Software,
para la cuantificación de todas las partidas que pueden ser objeto de hurto
forma ilegal un software que tenía una aplicabilidad específica sobre la prestación
tiempo inferior al que antes ocupaba en cada tarea, este delito se le sumaran los
cálculos por los ingresos que deja de percibir la empresa y que fueron hacia la
informático.
Cuando los recursos son recuperados en el mismo periodo fiscal se pueden reversar los
asientos o cancelarlos y no generar ninguna distorsión, pero debido a la lentitud de los procesos
judiciales esto únicamente ocurre cuando las entidades bancarias cubren esos montos de forma
voluntaria y rápidamente.
Pasado el proceso judicial que la empresa instauro para resarcir el perjuicio sufrido con el
responsabilidad del banco la custodia de esos recursos, por tanto, este debe
reintegrar los ochenta millones que fueron sustraídos de las cuentas mediante la
dinero debido a que se encontraron factores de riesgo dentro del control interno de
Tabla 0- 6 Contabilización cuando se paga una demanda en caso de ser autor del
delito
Aunque la empresa reconoce la pérdida de los recursos como un gasto, el tratamiento contable
de estos también puede ser durante más de un periodo fiscal, esto se debe hacer mediante un acta
del órgano competente y dejarlo bien especificado con su respectiva política, esta amortización
de la perdida a varios periodos se hace para no afectar en demasía la utilidad del ejercicio y el
apalancamiento externo por unos estados financieros poco útiles para adquirir deuda, también
para no castigar a sus socios igualmente en la repartición de utilidades del ejercicio del fallo.
a) Ninguno de los afectados instaura una denuncia penal, por tanto, la empresa en
b) La empresa fue demandada por los afectados por una suma de 20 millones por los
tanto de la empresa como las arras de los denunciantes alcanzan una suma de 10
En derecho penal colombiano debe haber una parte demandante y otra parte demandada es así
que para reconocer un activo o pasivo contingente deben existir igualmente las dos partes, dada
las condiciones en que se presentan los delitos informáticos en algunos casos no existen las dos
partes, por ejemplo en el Ransomware donde una persona o un grupo de personas a través de la
red secuestro un sistema informático, ocasionando unos prejuicios económicos y logísticos a una
entidad; esta los valoró y puso la respectiva denuncia pero no existe un tercero o demandado
definido o claro, puede que los resultados de la investigación no descubra responsable alguno, así
pues que habiendo denuncia y una estimación económica del daño sufrido por la entidad víctima,
no se puede esperar un beneficio futuro de este evento ya que no hay una persona natural o
jurídica como sujeto pasivo del proceso jurídico al cual se le obligue a pagar.
Dada la situación anterior no puede contabilizarse como una contingencia si no como una
pérdida sufrida por la entidad en su estado de resultados específicamente, lo que se podría hacer
mediante estatutos, políticas y normas seria diferir la perdida en distintos periodos grabables,
pero detallando el evento en el estado de revelaciones, esto con el fin de conservar unos estados
inversionistas.
hará de acuerdo con el importe de la situación más posible, de tal manera que la entidad pueda
Cabe resaltar que en estos eventos particulares para que se materialice un pasivo o un activo
Cuando el concepto de una provisión ocurra, entonces la entidad tendrá que hacer el ajuste a
esta para poder cancelarla con la entrada de recursos a la entidad en el caso de un activo
contingente que puede ser una demanda fallada favoreciendo la empresa y en contra de un
tercero que ocasiono un perjuicio mediante un delito informático, o bien la salida de recursos de
la entidad como pago a un tercero que se le ocasionó un daño mediante una acción punible y
un mayor, pero no lo reflejará en sus estados financieros y si lo hará en las notas, siempre y
Cuando las sanciones a la entidad son administrativas pero que igualmente perjudican los
proveedor a otro, ocasionándole daños y perjuicios, un fallo judicial determinó que la empresa
debía estar sellada durante una semana, esta situación originó que no hubiesen ventas durante ese
tiempo, por tanto sus ingresos estuvieron menguados, adicional a ello fue difícil sostener los
gastos de ese mes, al final del periodo contable esa situación ocasiono que los resultados del
periodo no fueran los esperados, aunque no existe manera de registrar esa sanción y tiene una
importancia relativa en el desempeño del año gravable en cuestión, se debe hacer la nota
respectiva detallando la situación para tener un parámetro fiable para medir los resultados de la
empresa.
Para las empresas es importante tomar acciones en la gestión del riesgo de este tipo de delitos,
los cuales constituyen una amenaza real como se evidencia en la actualidad. El uso de la
importancia para las organizaciones hace que se deban buscar y desplegar mecanismos que
eviten o hagan más difícil ser víctima por parte de los delincuentes informáticos.
En este contexto, es trascendental tener un conocimiento en detalle de cada delito desde el
punto de vista financiero, normativo, contable e informático, por ende, se requiere un equipo
multidisciplinario para tomar el problema desde todos los ángulos y así mismo crear conciencia
un mapa de riesgos y un plan de gestión que irán directamente a las políticas contables, manual
inadecuadas.
diseñar políticas que ayuden a la empresa a estar preparada para estos eventos, tanto para
que se hacen o que no se deben hacer, esto en aras de garantizar una seguridad en sus sistemas
la forma en que se pueden evitar, por esto, se considera importante enunciar algunas acciones
conocidos.
Al navegar verificar los dominios de sitios web para comprobar su veracidad y los
No descargar archivos por plataformas Peer To Peer (P2P) o páginas tipo Torrent.
Al usar páginas web se debe revisar la URL vigilando que no haya errores
Las aplicaciones que se descarguen en smartphones siempre deben ser desde Play
Implementar los pagos a través del teléfono puesto que es más difícil de clonar
disco duro debido a la facilidad de hackear el aparato utilizando las redes Wifi.
Cerrar siempre las sesiones de los computadores y antes de apagarlo hacer copia
de seguridad.
Utilizar dos cuentas de correo electrónico, una social y la otra con la información
financiera.
reconocidos.
Cuando se contrate personal se deben firmar todos los documentos legales entre
los cuales debe estar la autorización al uso de los datos del colaborador.
Previamente se enumeraron las medidas a tomar. Haciendo una analogía con la auditoria o el
Los delitos informáticos son la matriz de riesgos, posteriormente se puede hacer una
semaforización de estos, analizando y determinando cuales son los más probables, los de más
impacto y asignarles un color, una vez llevado este proceso se puede diseñar un modelo de
En este modelo de gestión del riesgo es importante explorar un orden cronológico, puesto que
algunas medidas de control son prioritarias ya que involucran además de lo informático un riesgo
La ley 44 de 1993 determina que la persona que tenga software sin la licencia de su creador o
distribuidor oficial estará incurriendo en una conducta castigada con prisión entre dos y cinco
años, además de pagar una indemnización por daños y perjuicios al tercero afectado, de la misma
manera la ley 603 del año 2000, establece que todas las empresas deben reportar a la DIAN de
manera anual la licenciatura del software, además define a esta entidad como la encargada de
Las medidas para gestionar el riesgo no necesariamente constituyen una inversión alta de
recursos económicos en las organizaciones, suele ser más de procesos y conocimiento, puesto
que la implementación de algunas acciones permite estar blindados en la mayoría de los delitos
informáticos que existen en la actualidad. Las empresas deben socializar entre sus colaboradores
los protocolos para usar herramientas informáticas, y garantizar que estos sean conscientes en
todo momento al manipularlas siendo agentes activos de la información contenida en medios
informáticos.
De igual forma, los profesionales informáticos tienen herramientas que contribuyen a una
través de Proxys o VPN (Red virtual privada) solo a sitios de interés empresarial que sean
seguros.
También es importante que la empresa se proteja desde adentro, puesto que también existe la
posibilidad que se incurra como autora en los delitos, esto debido a su desconocimiento o falta de
controles.
La situación en Colombia debido a más del 90% de sus empresas son pequeñas o PYMES en
la mayoría de los casos no cuenta con un departamento exclusivo de sistemas o informático, por
tanto, estas funciones son tercerizadas a una empresa o un profesional en ese campo, lo que
origina que no todo el tiempo se cuente con soporte técnico, las organizaciones debido a esta
sistema de información.
Es a la gerencia la que corresponde la tarea de las políticas contables y es a través del apoyo
de todos los colaboradores organizarlas para gestionar los riesgos concernientes a los delitos
una frecuencia suficiente para que todos los usuarios de las tecnologías informáticas tengan un
de victimario. Se debe hacer una lista y se valúan los daños, aplicando las políticas contables
La empresa UNO fue víctima del delito informático de sustracción de dinero de sus cuentas
empresa. Esta procede entonces a examinar los saldos en la contabilidad y compararlos con
resultados:
Además del valor en las cuentas la empresa también debe tener en cuenta otros gastos
adicionales que asumirá para recuperar el dinero de manera jurídica mediante un pleito.
Tabla 0- 8 Discriminación de gastos relacionados al delito informático
Una vez hechos estos cálculos que están en concordancia con la política contable y la norma
contable, en este caso las NIIF y específicamente la sección 21, denominada “Provisiones y
Contingencias” que es donde da directrices a situaciones similares a la planteada e indica su
contabilización.
Tabla 0-9 Contabilización NIIF de los conceptos incluidos en la afectación por delito
informático
la estimación monetaria del mismo se hará de acuerdo con el valor de mercado, los recursos
Cuando una empresa o trabajador de esta comete lo que el código penal estipula como un
genera el tercero afectado, pero todo ira a una cuenta de pasivo de provisión y contingencias
puesto que son unos recursos que la empresa espera gastar en un futuro cuando el sistema
judicial falle en contra o cuando la entidad llegue a un acuerdo de conciliación con el afectado y
El primer paso para reconocer que la empresa cometió un delito informático es tener un
proceso judicial donde la organización sea la demanda, en esta demanda el sustento probatorio
debe tener documentación para la valuación del perjuicio causado por la entidad, la organización
puede aceptar estos valores o pedir un perito para confrontar cifras y tener un valor más objetivo
y neutral para las dos partes, puesto que ese perito es escogido por el juez basado en el perfil
requerido para la tarea y esta persona no tiene ningún vínculo de afinidad, familiar, laboral o
Una vez hecha la aceptación de la demanda y la valoración de los daños a que fueron
expuestos los demandados, la empresa procederá a la contabilización y debe figurar tanto los
gastos del demandante como el de la empresa para su representación judicial, además de los
intereses en los periodos contables a que haya lugar, entre otros gastos.
Así, por ejemplo: la empresa DOS la cual se dedica al soporte técnico en un sistema contable
a terceros que adquirieron con la compañía el mismo, le causo un fraude financiero a través del
Backdoor por la cual trabajaba para hacer soporte remoto y en dicho fraude sustrajo dinero y
La empresa víctima de esta conducta mediante una auditoria descubrió la anomalía y decide
demandar.
Tabla 0-10 Detalle de los gastos incurridos por el tercero afectado por delito por parte de la
organización
esta, ve la tabla detallada de los valores y conceptos y decide aceptarlos para ahorrar gastos en
peritaje y porque hecho un estudio considera que coinciden con la realidad y por rastreo
Para la contabilización de estos valores, hace falta además agregar los conceptos de los gastos
en los que la empresa tendrá que incurrir para defenderse jurídicamente o conciliar el pleito.
Tabla 0- 11 Detalle de otros gastos relacionados por la empresa que cometió el delito
informático
Los gastos adicionales que se causaron por parte de la organización para contestar la demanda
en un juzgado si se descuentan del disponible ya que esas partidas se ejecutaron, por tanto son
embargo la entidad puede asociar esos gastos con el caso en particular para calcular el valor total
de todo el proceso, para que en el futuro mediante una acción de repetición hacia el empleado
que cometió el delito informático responda pecuniariamente por la totalidad de los daños tanto de
la empresa en la que labora como en el afectado por su acción delictiva. La contabilización de
concepto y valores pagados por el litigio, puesto que en el futuro la empresa va a comprometer
sus utilidades debido al pago por prejuicios contra el demandante por el delito informático del
En el periodo que se informa igualmente los gastos asociados al litigio disminuyen las
cuando a provisionar un porcentaje del resultado del ejercicio para respaldar el pasivo
de un resultado del ejercicio futuro, incluso esta situación podría generar perdida en el ejercicio
Las políticas contables son una herramienta que sirve para dirigir el departamento de
información en el futuro, al igual que la medición de las partidas a través del tiempo.
El objetivo de las políticas es que los eventos sean presentados en los estados financieros de
valuación y revelaciones.
Cabe resaltar que los procedimientos y datos contables que se modifiquen posteriormente al
OBJETIVO:
informáticos.
ALCANCE:
donde se detallará, la fecha, el asunto, un nivel de prioridad de alta media o baja, está
perjudica a la empresa en el largo plazo entonces la prioridad de la solicitud es baja. Esto se hace
para crear planes de trabajo en el departamento de informática para trabajar de manera óptima
MANTENIMIENTO DE ESTE.
OBJETIVO:
Crear un ambiente en el sistema de información seguro y cambiante para la gestión del riesgo
para tomar medidas y dinámicas para controlar en un alto nivel las amenazas externas e internas
nuevas claves se harán llegar al correo corporativo de cada colaborador, esto con
entre otros.
correo específico a cargo del departamento de sistemas para que este en la mayor
brevedad posible determine la seguridad del mismo, en caso que sea seguro avise
son diferentes entre los usuarios, razón por la cual el departamento de sistemas
debe hacer un estudio por puesto de trabajo ayudado por los diferentes actores con
el fin de que sea lo más acertado posible, luego de este estudio, el departamento
de sistemas configurará cada usuario con los permisos necesarios para desarrollar
además se hará una lista con las páginas a las que normalmente se requiere, se
como Adobe Reader, Flash Reader, entre otras, para tales casos donde se quiere
las licencias legales para cumplir la norma de la utilización del software legal.
g) Utilización de periféricos y su configuración en el sistema: cuando se adquiera
fallas, esto se hará con una frecuencia diaria al final de las operaciones y se
patrones y saber en qué aspecto hace falta fortalecer la seguridad del sistema.
estén autorizados para este fin, se les configurara su perfil para bloquear estos,
adicional a ello, el departamento de informática hará una evaluación periódica de
equipos desautorizados. Este literal tiene como fin los delitos como la instalación
antes, esto con el fin de prevenir el Hoax, el Flood o Flooder y los Spam.
Todas estas medidas tienen como fin el funcionamiento óptimo del sistema informático y
OBJETIVO
ALCANCE
falta grave y es causal de despido por justa causa, esta medida se toma para
c) Se revisará de manera frecuente en los buscadores, los sitios web que arrojan con
también ayudan a clientes en una mejor experiencia de uso del sitio web de la organización y una
OBJETIVO:
Determinar la valuación y clasificación de las partidas que están involucradas en los delitos
informáticos y que en un futuro o final de un litigio legal la empresa puede ser beneficiada por
un daño ocasionado por un tercero y que perjudicaron desde el punto de vista funcional o
financiero a la entidad.
ALCANCE:
Este concepto será aplicado a las partidas de Provisiones y Contingencias del grupo Activo,
dentro de esta partida se pueden crear subpartidas para una mayor claridad de los conceptos de
las transacciones a contabilizar, por ejemplo; dentro de un delito por fraude financiero en una
entidad bancaria aparte del dinero perdido también hay otros valores relacionados como, el
cálculo de los prejuicios causados, los gastos en asesoría legal, gastos de papelería, gastos de
La empresa deberá discriminar de manera detallada y la valuación de las partidas con base en
Las partidas y conceptos involucrados están enmarcados dentro de las NIIF, específicamente
parámetros para la medición y el reconocimiento inicial y posterior revelación en las notas a los
estados financieros.
Ley 1273 del año 2009 y la ley 599 del año 2000 (Código penal), donde se describen las
conductas que son consideradas delitos informáticos y que ya están descritas anteriormente en
este texto.
DEFINICIÓN
Según el código penal colombiano el delito informático son actividades ilícitas, que se
sin la autorización del propietario legítimo de estos datos. [ CITATION Ley09 \l 9226 ].
RECONOCIMIENTO
Solo se reconocerá un delito informático cuando se haya un tercero al que se le pueda cobrar
el fraude financiero o exigir indemnización por daños y perjuicios cuando la consecuencia del
organización por parte de un colaborador con distintos fines como venderlos. Sobornar a la
empresa u ocasionar un daño a la continuidad de las operaciones, en estos casos primero hace
organización sea la demandante y este acompañada de una aceptación de la demanda por parte
del juez o la fiscalía, ya que se encontraron elementos de juicio para concluir que se fue víctima
MEDICIÓN
La medición debe tener el mayor detalle posible y que se acerque a la realidad del valor que la
la medición contempla el valor perdido por el delito, más otros conceptos como:
a) Honorarios a abogados.
d) Transporte.
los gastos financieros con el tercero acreedor deben estar incluidos en esta
medición.
pérdidas por falta de operación y el pago de peritajes a personal capacitado para la obtención del
MEDICIÓN POSTERIOR
Al cierre de cada periodo contable las provisiones deben actualizarse, teniendo en cuenta los
gastos adicionales atribuibles al delito, igual en las partidas de las provisiones y contingencias,
adicional a ello se le sumara los intereses sobre el valor total aplicando la DTF fijada por el
Banco de la República.
estado de revelaciones, se revelarán las cifras generales y una leve descripción de los conceptos,
aunque estos valores no estén en el ESF ni en ERI si afectan el activo y la utilidad del ejercicio,
OBJETIVO:
Determinar la valuación y clasificación de las partidas que están involucradas en los delitos
informáticos y que en un futuro o final de un litigio legal la empresa puede ser obligada a pagar
una suma monetaria o sanción administrativa por un daño ocasionado a un tercero y que
perjudicaron desde el punto de vista funcional o financiero a la entidad. Esta situación puede
considerarse con dolo corporativo o por un colaborador donde cabe la acción de repetición contra
este en un futuro, después que el juez dictamino que la empresa debe ser sancionada.
ALCANCE:
Este concepto será aplicado a las partidas de Provisiones y Contingencias del grupo Pasivo,
dentro de esta partida se pueden crear subpartidas para una mayor claridad de los conceptos de
las transacciones a contabilizar, a los que la empresa causa por conceptos relacionados al proceso
La empresa deberá discriminar de manera detallada y la valuación de las partidas con base en
contingencias están contabilizadas como pasivo, es decir, es una cuenta por pagar en el futuro,
ocasionado por un hecho pasado que es el delito informático donde a la empresa se le atribuye la
autoría.
REFERENCIA TECNICA:
Las partidas y conceptos involucrados están enmarcados dentro de las NIIF, específicamente
estados financieros.
Ley 1273 del año 2009 y la ley 599 del año 2000 (Código penal), donde se describen las
conductas que son consideradas delitos informáticos y que ya están descritas anteriormente en
este texto.
DEFINICIÓN
Según el código penal colombiano el delito informático son actividades ilícitas, que se
sin la autorización del propietario legítimo de estos datos. [ CITATION Ley09 \l 9226 ].
RECONOCIMIENTO
Solo se reconocerá un delito informático cuando hay un tercero el cual fue víctima por parte
organización sea la demandada y este acompañada de una aceptación de la demanda por parte
del juez o la fiscalía, ya que se encontraron elementos de juicio para concluir que se fue víctima
La medición debe tener el mayor detalle posible y que se acerque a la realidad del valor que la
empresa perderá durante el proceso judicial entablado en contra por parte del tercero afectado,
la medición contempla el valor perdido por el delito, más otros conceptos como:
a) Honorarios a abogados.
d) Transporte.
los gastos financieros con el tercero acreedor deben estar incluidos en esta
medición.
También deben contemplarse los gastos adicionales expresados por la persona o empresa
perjudicada en sus operaciones o parte económica, por que dichos daños están contemplados
siempre en los litigios, los juzgados contratan peritos para calcular todos los prejuicios que se
Al cierre de cada periodo contable los pasivos contingentes y provisiones deben actualizarse,
teniendo en cuenta los gastos adicionales atribuibles al delito, adicional a ello se le calculan los
intereses sobre el valor total aplicando la DTF fijada por el banco de la república.
estado de revelaciones, se revelarán las cifras generales y una leve descripción de los conceptos,
aunque estos valores no estén en el ESF ni en ERI si afectan el activo y la utilidad del ejercicio,
empresas y en general todas las personas en la actualidad, han simplificado en gran medida la
complejidad de las tareas haciéndolas más sencillas y en una fracción de tiempo de lo que antes
se hacía.
Este proceso también ha orientado a comprimir información en archivos de software que son
monetarios por medio de códigos informáticos entre distintas entidades, personas o empresas.
disponible de manera gratuita a cualquier persona o empresa que navegue por un buscador y
llegue a este, el conocimiento ha sido utilizado a través de la historia para propósitos correctos
modificarlo haciendo mejoras para su beneficio. En informática ocurre lo mismo, los procesos
informáticos y herramientas en esta ciencia que administra los procesos dentro y fuera de las
organizaciones, se rigen por reglas y parámetros que pueden ser modificados para obtener un fin
o beneficio diferente.
El resultado o beneficio es el origen de los delitos informáticos, este fin está relacionado con
la ética y moral, hay un principio universal sobre el beneficio mutuo, se considera un acto
inmoral cuando el beneficio solo es para una parte o en cambio un bando se beneficia en
perjuicio del otro, en derecho un delito es un perjuicio que se le ocasiona a otra parte a cambio de
Los beneficios materiales o tangibles se refieren a dinero o algún objeto, mientras que el
el internet, cuando no había una web, entonces los delitos informáticos consistían en robar
un dispositivo que producía unos silbidos similares a los de las conmutadoras de la época y
En 1978 se crea un archivo de fácil intercambio y que contenía una serie de conceptos para
En 1981 fue condenada la primera persona por un delito informático, su acción fue ingresar
en forma ilegal a los ordenadores de la compañía AT&T y modificar el reloj interno para
1982 se crea el primer virus, empezó como una broma de adolescentes y se propago
rápidamente por los equipos Apple II, su medio de propagación fueron los diskettes.
1986 el congreso de USA crea una ley sobre el fraude y el abuso informático, convirtiendo el
En 1989 se crea el Ransomware, el virus se propaga como una encuesta sobre el SIDA y
secuestra los datos de la computadora desde donde se responde la encuesta, el rescate de los
datos consistía en pagar 500 dólares. Ese mismo año fue arrestado otro grupo de personas que
estaban robando datos del gobierno de los Estados Unidos y vendiéndolos a la KGB de la Unión
Soviética.
En 1993 un individuo bloqueo todas las entradas a llamadas telefónicas a una estación de
radio para ganar un concurso, fue capturado y condenado a 5 años de prisión además se le
En al año 1994 se lanza World Wide Web y aparece un grupo de hackers black hat y entran a
1995 aparecen los macro-virus que son archivos malignos contenidos en otras aplicaciones
1996 la CIA denuncio en el congreso que habían recibido más de seiscientos cincuenta mil
ataques de hackers a distintas instituciones y que más del 60 % habían tenido éxito.
En 1999 fue lanzado el virus MELISSA que sería el más dañino hasta la fecha, ocasionando
En el año 2002 se lanza el sitio web Shadow Crew, un portal para hackers black hat donde
En el año 2003 el gusano SQL Slammer se vuelve el más rápido en propagarse por la red, más
de setenta y cinco mil computadoras en un tiempo de diez minutos, ocasionaba que la velocidad
de navegación fuera muy lenta debido a parámetros que establecían unos límites para la misma.
En la actualidad los delitos informáticos han tenido un incremento potencial en unos pocos
años, actualmente son ejecutados por estructuras organizadas que funcionan como empresas
estructura criminal, estas estructuras son las responsables de al menos el 80% de los delitos
corresponde a personas con cierto conocimiento que trabajan o tienen vínculos de alguna
naturaleza con la víctima, sea persona o empresa, y ejecuta la acción delictiva dentro de la
La afectación a las empresas en la actualidad está enfocado a sus recursos financieros y a sus
activos intangibles como patentes, modelos de producción, software, entre otros, este segundo
botín se debe al mercado que hay para el mismo, su alto valor y su importancia para las empresas
Todo ello hace que surja la necesidad de gestionar el riesgo de los delitos informáticos desde
las múltiples plataformas desde donde se ocasionan, tales como los teléfonos inteligentes, las
informática.
incluso como un arma para las naciones y proteger su seguridad nacional, mediante el espionaje
y sabotaje de los adversarios, algunos ejemplos de esto podrían ser el sabotaje informático por
parte de Israel y Estados Unidos a Irán y su programa nuclear, las elecciones en Estados Unidos
y la posible afectación en el resultado por el uso de noticias falsas de Rusia para incidir en las
denominadas Zero Days y entrar a controlar el software a través de estas fallas en los sistemas,
los gobiernos del mundo recopilan toda esta información de procesos judiciales a delitos
informáticos, pero no comparte los errores con los programadores o empresas encargadas de
programar y superarlos, por lo tanto, los criminales están con la ventaja del conocimiento que se
En las organizaciones los efectos de los delitos informáticos son múltiples, cuando la empresa
es la que comete el delito, puede tener consecuencias financieras por el pago de multas e
indemnizaciones muy altas que ponen en peligro el capital de trabajo y a la larga la continuidad
de la empresa en el mercado, también en multas operativas cuando las sanciones van hasta el
cierre por robo de licencias o modelos productivos, mercado, competencia desleal, entre otros.
operatividad, esto es muy visible cuando sus recursos económicos son sustraídos por medio de
autor del delito informático, su operatividad también puede estar en peligro por la pérdida del
productivos.
mediante la ley 1314 del año 2009, hace posible que en Colombia las organizaciones cuenten con
unos parámetros normativos, pero a su vez la ley les brinda libertad para diseñar unas políticas
empresa, por tanto, las organizaciones son garantes de la gestión de todos los riesgos a los que
Para el diseño específico de las políticas organizacionales hace falta el conocimiento de cada
aspecto a tratar en estas, desde el punto de vista informático es necesario revisar el tipo de
software y hardware a utilizar, el personal que lo operará, las funciones que hace cada
colaborador dentro del ambiente del network, el mercado donde se desarrollará, las operaciones
y los métodos que hace la organización en la internet, en general un estudio exhaustivo para
encontrar riesgos y poder gestionarlos de una manera óptima, para posteriormente combatirlos
forma de hacer cada proceso dentro del ambiente informático, están diseñadas para mejorar los
Una vez se presenten delitos en la organización las empresas tienen la necesidad de reflejar
esa realidad en los sistemas contables de las mismas, hay dos opciones para esto, cuando la
autora, debe haber una víctima con su respectiva denuncia y si la empresa es víctima igualmente
Como segunda medida debe ser cuantificado el daño y debe haber un proceso penal que
Debe haber un cálculo además de todas las erogaciones de recursos relacionados con el delito,
como gastos legales, papelería, honorarios, transporte, entre otros que apliquen.
periódicamente.
Estos valores deben estar en el estado de revelaciones con el mayor detalle posible para los
stakeholders.
Cuando todos estos parámetros se cumplan los valores quedaran en una cuenta de activos
contingentes cuando la empresa ha sido víctima y de pasivos contingentes cuando la empresa fue
Existen una gran cantidad de técnicas utilizadas en el área informática para cometer delitos y
cada una de ellas tiene un nombre específico, también existen casos en los que se presenta una
combinación de dos o más de estas técnicas y constituyen una forma más sofisticada de
delinquir.
La legislación nacional hizo un breve resumen de las técnicas sobre los delitos informáticos,
sin embargo, estas describen la totalidad de los objetivos de estos delitos, por tanto, la norma
Se pudo identificar que existen riesgos tanto de ser victima como de ser victimario en el
contexto de los delitos informáticos, esto se debe a la gran cantidad de factores externos e
internos que se deben tener en cuenta. En todo caso, estos riesgos se pueden mitigar en un
una demanda a favor o en contra de la organización por medio de un fallo judicial, mientras que
conjunto de estas políticas que gestionen la mayoría de los riesgos, la empresa cuenta con un
margen muy importante y representativo sobre la protección de sus recursos a través del internet.
10. BIBLIOGRAFÍA
https://www.cisco.com/c/es_co/solutions/enterprise-networks/enterprise-network-
security/index.html?
CCID=cc000009&OID=0&DTID=pseggl000015&POSITION=SEM&COUNTRY_SITE
=co&CAMPAIGN=sc-00&CREATIVE=CO_SEM_SEC_Security-SPA_PM_NB_NOA-
GGL_0_Observation_MLT-Cibersegu
Codigo Penal Colombiano, Ley 599/2000 (01 de 07 de 2000).
https://www.vanguardia.com/colombia/aumentaron-a-20-las-empresas-colombianas-
afectadas-con-virus-wannacry-MQVL397795
Computer Forensic. (14 de 01 de 2019). Recovery Labs Corp. Obtenido de Recovery Labs Web
Site: http://www.delitosinformaticos.info/delitos_informaticos/glosario.html
https://elpais.com/diario/1999/12/19/sociedad/945558010_850215.html
https://www.eltiempo.com/tecnosfera/novedades-tecnologia/correo-falso-de-la-
registraduria-espia-a-los-usuarios-en-colombia-225274
de-pesos-a-un-banco-colombiano
https://sites.google.com/site/informaticageneraldl/historia-de-la-informatica-1/la-
informatica-como-ciencia
http://www.zonavirus.com/noticias/2010/nueva-tecnica-salami-de-fraude-a-tarjetas-de-
credito-prueba-que-tan-dificil-es-para-el-banco-detectarla.asp
https://www.ieee.org.co/
https://blogs.imf-formacion.com/: ://blogs.imf-
formacion.chttpsom/blog/tecnologia/organismos-ciberseguridad-201904/
al-bbva-articulo-524960
Nacion. (28 de 12 de 2017). El cibercrimen en 2017: la amenaza crece sobre Colombia. Semana,
balance-de-2017/551979
https://www.oas.org/juridico/english/cyb_pry_convenio.pdf
Olaya, M. (27 de 08 de 2018). RCN Radio. Obtenido de RCN Radio Portal Web:
https://www.rcnradio.com/economia/sector-bancario-colombiano-ha-sufrido-mas-de-27-
mil-ataques-ciberneticos-en-el-ultimo-ano
Panda Media Center. (15 de 11 de 2013). Pandasecurity. Obtenido de Pandasecurity web site:
https://www.pandasecurity.com/spain/mediacenter/malware/que-es-un-ransomware/
www.cortesuprema.gov.co/corte/wp.../ci/.../SC1806-2015%20(2000-00108-01).doc
Semana. (2017). El cibercrimen en 2017: la amenaza crece sobre Colombia. Semana, virtual.
Obtenido de https://www.semana.com/nacion/articulo/cibercrimen-en-colombia-balance-
de-2017/551979
NOTA SOBRE LAS NIIF Y LOS DELITOS INFORMATICOS, (ACLARATORIA DEL
COMENTARIO DE LA BIBLIOGRAFIA):
Las NIIF no tratan de temas específicos como los delitos informáticos, dan conceptos muy
generales y los dividen en parámetros para poder clasificar una transacción o situación dentro de
una organización en unas cuentas o partidas que cumpla con esos atributos.
En este particular la NIIF habla sobre los activos y pasivos contingentes, que son entradas o
salidas de recursos de la empresa si un evento se hace realidad, en este caso específico la Norma
d) Se deben sumar todos los valores y conceptos que estén ligados a este proceso,
También es importante aclarar que no existe bibliografía que trate específicamente el tema,
las fuentes consultadas son guías sobre la clasificación y conceptualización de las mimas.