RIESGOS INFORMATICOS

   
  Incertidumbre existente por la posible realización de un suceso
relacionado con la amenaza de daño respecto a los bienes o servicios
informáticos, como equipos informáticos, periféricos, instalaciones,
programas de computo, etc.

Es importante en toda organización contar con una herramienta, que

garantice la correcta evaluación de los riesgos, a los cuales están
sometidos los procesos y actividades que participan en el área
informática; y por medio de procedimientos de control se pueda
evaluar el desempeño
del entorno informático.

TIPO DE RIESGOS
1. Riesgo de integridad:
Este tipo abarca todos los riesgos asociados con la autorización,
completitud y exactitud de la entrada, procesamiento y reportes de
las aplicaciones utilizadas en una organización. Estos riesgos aplican
en cada aspecto de un sistema de soporte de procesamiento de
negocio y están presentes en múltiples lugares, y en múltiples
momentos en todas las partes de las aplicaciones; no obstante estos
riesgos se manifiestan en los siguientes componentes de un sistema: 

Interfase del usuario: Los riesgos en esta área generalmente se

relacionan con las restricciones, sobre las individualidades de una
organización y su autorización de ejecutar funciones
negocio/sistema; teniendo en cuenta sus necesidades de trabajo y
una razonable segregación de obligaciones. Otros riesgos en esta
área se relacionan a controles que aseguren la validez y completitud
de la información introducida dentro de un sistema.
• Procesamiento: Los riesgos en esta área generalmente se
relacionan con el adecuado balance de los controles defectivos y
preventivos que aseguran que el procesamiento de la información ha
sido completado. Esta área de riesgos también abarca los riesgos
asociados con la exactitud e integridad de los reportes usados para
resumir resultados y tomar decisiones de negocio.
• Procesamiento de errores: Los riesgos en esta área generalmente
se relacionan con los métodos que aseguren que cualquier
entrada/proceso de información de errores (Excepciones) sean
capturados adecuadamente, corregidos y reprocesados con
exactitud completamente.
• Administración de cambios: Estos riesgos están asociados con la
administración inadecuadas de procesos de cambios de
organizaciones que incluyen: Compromisos y entrenamiento de los
usuarios a los cambios de los procesos, y la forma de comunicarlos e
implementarlos.
 • Información: Estos riesgos están asociados con la administración
inadecuada de controles, incluyendo la integridad de la seguridad de
la información procesada y la administración efectiva de los
sistemas de bases de datos y de estructuras de datos. 
2. Riesgos de relación:
Los riesgos de relación se refieren al uso oportuno de la información
creada por una aplicación. Estos riesgos se relacionan directamente a
la información de toma de decisiones (Información y datos correctos de
una persona/proceso/sistema correcto en el tiempo preciso permiten
tomar decisiones correctas).
  3 Riesgos de acceso:

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e

información. Estos riesgos abarcan: Los riesgos de segregación
inapropiada de trabajo, los riesgos asociados con la integridad de la
información de sistemas de bases de datos y los riesgos asociados a
la confidencialidad de la información. Los riesgos de acceso pueden
ocurrir en los siguientes niveles de la estructura de la seguridad de
la información:
• Administración de la información: El mecanismo provee a los
usuarios acceso a la información específica del entorno.
• Entorno de procesamiento: Estos riesgos en esta área están
manejados por el acceso inapropiado al entorno de programas e
información.
• Redes: En esta área se refiere al acceso inapropiado al entorno de
red y su procesamiento.
• Nivel físico: Protección física de dispositivos y un apropiado
acceso a ellos. 
4. Riesgo de utilidad:
Estos riesgos se enfocan en tres diferentes niveles de riesgo: * Los
riesgos pueden ser enfrentados por el direccionamiento de sistemas
antes de que los problemas ocurran. *Técnicas de
recuperación/restauración usadas para minimizar la ruptura de los
sistemas. *Backups y planes de contingencia controlan desastres en el
procesamiento de la información.
5. Riesgos de infraestructura:
Estos riesgos se refieren a que en las organizaciones no existe una
estructura información tecnológica efectiva (hardware, software,
redes, personas y procesos) para soportar adecuadamente las
necesidades futuras y presentes de los negocios con un costo
eficiente. Estos riesgos están asociados con los procesos de la
información tecnológica que definen, desarrollan, mantienen y
operan un entorno de procesamiento de información y las
aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.

6. Riesgos de seguridad general:

Los estándar IEC 950 proporcionan los requisitos de diseño para
lograr una seguridad general y que disminuyen el riesgo:
• Riesgos de choque de eléctrico: Niveles altos de voltaje.
• Riesgos de incendio: Inflamabilidad de materiales.
• Riesgos de niveles inadecuados de energía eléctrica.
• Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
• Riesgos mecánicos: Inestabilidad de las piezas eléctricas. 

CÓMO SUCEDEN LOS FRAUDES

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e
información. Estos riesgos abarcan: Los riesgos de segregación
inapropiada de trabajo, los riesgos asociados con la integridad de la
información de sistemas de bases de datos y los riesgos asociados a
la confidencialidad de la información. Los riesgos de acceso pueden
ocurrir en los siguientes niveles de la estructura de la seguridad de
la información:
• Administración de la información: El mecanismo provee a los
usuarios acceso a la información específica del entorno.
• Entorno de procesamiento: Estos riesgos en esta área están
manejados por el acceso inapropiado al entorno de programas e
información.
• Redes: En esta área se refiere al acceso inapropiado al entorno de
red y su procesamiento.
• Nivel físico: Protección física de dispositivos y un apropiado
acceso a ellos. 
Los fraudes pueden ser perpetuados a travès de los siguientes
mètodos:
1. Ingenierìa Social. Consiste en plantear situaciones para conmover
o sobornar a quienes pueden proporcionar la información deseada o
facilitar la ocurrencia de ilícitos. 
2. Puertas Levadizas (Fuga o Escape de Datos). El personal de PED
puede construir puertas levadizas (rutinas) en los programas de
computador para permitir que los datos entren y salgan sin ser
detectados.
Características:
a) Implica la incrustación de instrucciones no autorizada en los
programas del computador.
b) Los códigos especiales pueden ser diferentes de los códigos de
los registros de entrada. En este caso, puede haber complicidad
entre los grabadores de los datos y el programador.
c) En los informes de control de calidad no se dejan evidencias de la
utilización de códigos especiales.
d) Los criminales no necesariamente deben estar presentes en el
escenario del crimen.
3. Recolección de Basura. Se usa la basura de las aplicaciones de
computador, dejada dentro de la instalación o en su periferia
después de la ejecución de un trabajo.

La basura o deshechos del computador contiene cosas como listados

de programas, listados con información o reportes y documentación
de los sistemas.

Los códigos correctos para accesar los archivos o las terminales,

pueden ser obtenidos por los criminales usando los datos residuales
que se dejan en la basura.
4. Ir a Cuestas para tener Acceso no Autorizado. es un paseo que se
da el perpetrador con la gente influyente y que es aprovechado para
realizar sus hazañas de prestidigitador (tramposo) conducente a
abrir las líneas de comunicación, abrir las puertas del centro de
cómputo, lograr acceso a las terminales y otras proezas para violar
la seguridad de los sistemas computarizados.

Esta técnica varía desde trampas muy simples hasta tretas

electrónicas complejas.
es un paseo que se da el perpetrador con la gente influyente y que
es aprovechado para realizar sus hazañas de prestidigitador
(tramposo) conducente a abrir las líneas de comunicación, abrir las
puertas del centro de cómputo, lograr acceso a las terminales y
otras proezas para violar la seguridad de los sistemas
computarizados.

Esta técnica varía desde trampas muy simples hasta tretas

electrónicas complejas.
5. La Técnica del Caballo de Troya. Consiste en insertar una rutina
fraudulenta que se activa cuando cierta condición o una fecha
ocurre.Estas rutinas pueden ser introducidas preferiblemente
adicionando un cambio no autorizado en el momento de implantar un
cambio autorizado.
6. Técnica del Taladro.Consiste en la utilización de una computadora
casera para llamar con diferentes códigos hasta que uno de
resultado.

Puede ser utilizada para descubrir las contraseñas de acceso a

terminales. En USA, Pepsi Cola Co. se vio seriamente abochornada
cuando cuatro chicos de 14 años descubrieron los códigos de
seguridad de una de sus computadoras en Canadá y ordenaron para
sí cajas gratis de bebidas gaseosas.
7. Agujeros del Sistema Operativo o Trampas-Puerta.Trampas-
Puerta son deficiencias en los sistemas operacionales. Como en
“Alicia en el País de las Maravillas”, existen muchos agujeros que
permiten caer en el país de las maravillas.

El uso de unas cuantas instrucciones de control son suficientes para

cometer fraudes, sin necesidad de que el perpetrador sea un
experto en programación. Basta con que el System Programmer sea
suficiente experto y puede aprovechar esos agujeros para
introducir instrucciones adicionales malintencionadas. 
8. Superzapping.Utilización de programas de acceso universal de
algunos computadores (una especie de llave maestra) para pasar por
sobre todos los controles normales y permitir el acceso a todos los
archivos de datos.
Esta técnica es especialmente peligrosa porque, en manos diestras,
no deja rastros o indicios. Puede ser utilizada para manipular
directamente los archivos maestros.
9. Manipulación de Transacciones.

Es el método más frecuentemente utilizado, consiste en cambiar la

información antes o durante la entrada al computador.

Puede ser perpetrado por cualquier por cualquier persona que tenga
acceso al proceso de crear, registrar, transportar, codificar,
examinar o convertir la información que entra al computador. Se
comete agregando transacciones no autorizadas, alterando
transacciones, no procesando transacciones o combinando varios
métodos.

Manipulación: maniobra o manejo destinado a engañar.

Intercepción de Líneas de Comunicación de Datos.

Se intervienen los circuitos de comunicación entre:

a. Terminales y concentradores.
b. Terminales y computadores
c. Computadores y computadores

La intercepción de comunicaciones por teléfono, microondas o

satélite, es técnicamente posible.

El uso de hardware de criptografía es un método efectivo para

evitar este tipo de penetración.
TÉCNICAS UTILIZADAS PARA PERPETRAR LOS
FRAUDES
Fraude relacionado con la entrada de datos

Segregacion de funciones en las areas de usuarios y entre usuarios y

personal.
Conciliaciones independientes
Autorizacion de cambios en los datos existentes
Controles al acceso a los archivos de datos
Lista y revision periodica de los datos existentes

Fraude relacionado con los programas

Autorizacion y prueba de los cambios en los programas

Acceso restringido a las librerias del sistema que contienen
programas de vida
Uso de programas especiales de utilidad para comparar las versiones
 cambiadas de los programas, para asegurarse de que solo se han
hecho las modificaciones autorizadas.
Reducir la dependencia del personal de los sistemas clave.

Fraude relacionado con la salida de datos

Segregacion de funciones en las areas de los usuarios

Conciliaciones independientes
Buenos controles de custodia sobre la papeleria importante
Buenos controles de acceso 
http://auditoriadesistemas.galeon.com/productos2223863.html

RIESGOS INFORMATICOS

Es importante en toda organización contar con una herramienta,

que garantice la correcta evaluación de los riesgos, a los cuales
están sometidos los procesos y actividades que participan en el
área informática; y por medio de procedimientos de control que
puedan evaluar el desempeño del entorno informático.
Viendo la necesidad en el entorno empresarial de este tipo de
herramientas y teniendo en cuenta que, una de las principales
causas de los problemas dentro del entorno informático, es la
inadecuada administración de riesgos informáticos, esta
información sirve de apoyo para una adecuada gestión de la
administración de riesgos.

4.1 ¿QUE SON LOS RIESGOS?

El riesgo es una condición del mundo real, en el cual hay una

exposición a la adversidad conformada por una combinación de
circunstancias del entorno donde hay posibilidad de pérdidas. Los
riesgos informáticos son exposiciones tales como atentados y
amenazas a los sistemas de información. 
“La probabilidad de que una amenaza se materialice, utilizando la
vulnerabilidad existentes de un activo o grupos de activos,
generándoles pérdidas o daños”. Fuente: Organización Internacional
por la Normalización (ISO).

• ELEMENTOS A TENER EN CUENTA PARA LA CORRECTA

DEFINICIÓN DE RIESGOS 

• ADMINISTRACION DE RIESGOS

• VALORACIÓN DE RIESGOS

METODO A (Scoring): SISTEMA DE CALIFICACIONES: Prioriza

las revisiones con base en una evaluación de los factores de riesgo
que consideran variables como: Complejidad técnica, extensión del
sistema, el cambio en el proceso y la materialización. Estas
variables pueden estar ponderadas.

METODO B: Con base en juicios: Se toma decisión independiente

con base en :
• Directivas del máximo nivel ejecutivo
• Perspectivas históricas
• Ambiente del negocio.

• SISTEMA DE CALIFICACIONES
Priorización de las revisiones con base en una evaluación de
factores de riesgo que tienen en cuenta variables (ponderadas o no)
como: complejidad técnica, la extensión del sistema, el cambio en el
proceso y la materialización. 

Estas revisiones se programan de acuerdo con el plan de auditoría

anual de auditoría de sistemas.

4.2 TIPOS DE RIESGOS

1. RIESGOS DE INTEGRIDAD

• Interface del usuario

• Procesamiento
• Procesamiento de errores
• Interface
• Administración de cambios
• Información

2. RIESGOS DE RELACION

Los riesgos de relación se refieren al uso oportuno de la

información creada por una aplicación. Estos riesgos se relacionan
directamente a la información de toma de decisiones. 

3. RIESGOS DE ACCESO

• Procesos de negocio
• Aplicación
• Administración de la información
• Entorno de procesamiento
• Redes
• Nivel físico

4. RIESGOS DE UTILIDAD

• Los riesgos pueden ser enfrentados por el direccionamiento de

sistemas antes de que los problemas ocurran.
• Técnicas de recuperación/restauración usadas para minimizar la
ruptura de los sistemas.
• Backups y planes de contingencia controlan desastres en el
procesamiento de la información.

5. RIESGOS EN LA INFRAESTRUCTURA

• Planeación organizacional
• Definición de las aplicaciones
• Administración de seguridad
• Operaciones de red y computacionales
• Administración de sistemas de bases de datos
• Información / Negocio

6. RIESGOS DE SEGURIDAD GENERAL

• Riesgos de choque de eléctrico

• Riesgos de incendio
• Riesgos de niveles inadecuados de energía eléctrica.
• Riesgos de radiaciones
• Riesgos mecánicos

7. CONCENTRACION DE PROCESAMIENTO DE APLICACIONES

MAS GRANDES Y DE MAYOR COMPLEJIDAD
Una de las causas más importantes del incremento en los riesgos
informáticos probablemente sea el aumento en la cantidad de
aplicaciones o usos que se le da a las computadoras y la consecuente
concentración de información y tecnología de software para el
procesamiento de datos. 

8. DEPENDENCIA EN EL PERSONAL CLAVE

La dependencia en individuos clave, algunos de los cuales poseen un

alto nivel de desempeño técnico, con frecuencia pone a la compañía
en manos de relativamente pocas personas, siendo que éstas por lo
general son externas a la organización. 

9. DESAPARICION DE LOS CONTROLES TRADICIONALES

Las aplicaciones contienen verificadores automáticos que aseguran

la integridad de la información que se procesa. Este gran cambio en
el criterio sobre el control de los empleados y las brechas respecto
a la comunicación, crean situaciones de seguridad totalmente
diferentes.

10. HUELGAS, TERRORISMO E INESTABILIDAD SOCIAL

El nivel actual de riesgo en computación se debe revisar también

dentro del contexto de inestabilidad social en muchas partes del
mundo. Ha habido ataques físicos a diversas instalaciones, sin
embargo algunas veces se trata de la incursión de personal interno
y no de agitador. 

11. MAYOR CONCIENCIA DE LOS PROVEEDORES

Hasta hace pocos años este tema no constituía motivo de gran

preocupación para los proveedores, pero la conciencia acerca de la
exposición a los riesgos los ha obligado a destinar presupuestos
considerables para la investigación acerca de la seguridad.

4.3 COMO SUCEDEN LOS FRAUDES INFORMATICOS.

FRAUDE INFORMÁTICO. 

Acción culpable realizada por un ser humano que causa un perjuicio

a personas sin que necesariamente se beneficie el autor o que por
el contrario produzca un beneficio ilícito a su autor aunque no
perjudique en forma directa o indirecta a la víctima. 

TIPOS DE DELITOS O FRAUDES INFORMATICOS 

1. Sabotaje Informático

En lo referente a Sabotaje Informático podemos encontrar dos

clasificaciones las cuales son las siguientes:

• Conductas dirigidas a causar daños físicos 

Esto es cuando la persona que comete el delito causa daños físicos

al hardware del equipo objeto del delito. Aquí el daño físico se
puede ocasionar de muchas formas por la persona que tiene la
intención de causar daño.

Uso de instrumentos para golpear, romper o quebrar un equipo de

cómputo, ya sea el daño completo o parcial. 

Uso de líquidos como café, agua o cualquier líquido que se vierta

sobre el equipo y dañe las piezas y componentes electrónicos. 
Provocar apagones o cortos en la energía eléctrica con intención de
causar daños en el equipo. 

Utilizar bombas explosivas o agentes químicos que dañen el equipo

de cómputo. 

Arrancar, o quitar componentes importantes de algún dispositivo

del equipo, como CD-ROM, CD-RW, Disco de 3 ½, Discos Duros,
Impresoras, Bocinas, Monitores, MODEM, Tarjetas de audio y
video, etc. 
Y cualquier otra forma que dañe la integridad del equipo de
cómputo.

• Conductas dirigidas a causar daños lógicos 

Esto comprende los daños causados a la información y todos los

medios lógicos de los cuales se vale un Sistema de Cómputo para
funcionar adecuadamente.

Por ejemplo, dañar la información contenida en unidades de

almacenamiento permanente, ya sea alterando, cambiando o
eliminando archivos; mover configuraciones del equipo de manera
que dañe la integridad del mismo; atentar contra la integridad de
los datos pertenecientes al dueño del equipo de cómputo y todas
formas de ocasionar daños en la parte lógica de un sistema de
cómputo.

Medios Utilizados para Realizar Daños Lógicos 

VIRUS: Es una serie de claves programáticas que pueden adherirse

a los programas legítimos y propagarse a otros programas
informáticos. Un virus puede ingresar en un sistema por conducto
de una pieza legítima de soporte lógico que ha quedado infectada,
así como utilizando el método del Caballo de Troya.

GUSANOS: Se fabrica de forma análoga al virus con miras a

infiltrarlo en programas legítimos de procesamiento de datos o
para modificar o destruir los datos, pero es diferente del virus
porque no puede regenerarse. En términos médicos podría decirse
que un gusano es un tumor benigno, mientras que el virus es un
tumor maligno. Ahora bien, las consecuencias del ataque de un
gusano pueden ser tan graves como las del ataque de un virus: por
ejemplo, un programa gusano que subsiguientemente se destruirá
puede dar instrucciones a un sistema informático de un banco para
que transfiera continuamente dinero a una cuenta ilícita.

BOMBA LOGICA O CRONOLOGICA: Exige conocimientos

especializados ya que requiere la programación de la destrucción o
modificación de datos en un momento dado del futuro. Ahora bien,
al revés de los virus o los gusanos, las bombas lógicas son difíciles
de detectar antes de que exploten; por eso, de todos los
dispositivos informáticos criminales, las bombas lógicas son las que
poseen el máximo potencial de daño. 

2. Fraude a través de Computadoras

Cuando la computadora es el medio para realizar y maquinar

fraudes por una persona, se considera un delito.

a. Manipulación de los datos de entrada 

Este tipo de fraude informático conocido también como sustracción

de datos, representa el delito informático más común ya que es
fácil de cometer y difícil de descubrir. Este delito no requiere de
conocimientos técnicos de informática y puede realizarlo cualquier
persona que tenga acceso a las funciones normales de
procesamiento de datos en la fase de adquisición de los mismos.

b. Manipulación de Programas 

Es muy difícil de descubrir y a menudo pasa inadvertida debido a

que el delincuente debe tener conocimientos técnicos concretos de
informática. Este delito consiste en modificar los programas
existentes en el sistema de computadoras o en insertar nuevos
programas o nuevas rutinas. Un método común utilizado por las
personas que tienen conocimientos especializados en programación
informática es el denominado Caballo de Troya, que consiste en
insertar instrucciones de computadora de forma encubierta en un
programa informático para que pueda realizar una función no
autorizada al mismo tiempo que su función normal.

c. Manipulación de los datos de salida

Se efectúa fijando un objetivo al funcionamiento del sistema

informático. El ejemplo más común es el fraude de que se hace
objeto a los cajeros automáticos mediante la falsificación de
instrucciones para la computadora en la fase de adquisición de
datos. Tradicionalmente esos fraudes se hacían a base de tarjetas
bancarias robadas, sin embargo, en la actualidad se usan
ampliamente equipo y programas de computadora especializados
para codificar información electrónica falsificada en las bandas
magnéticas de las tarjetas bancarias y de las tarjetas de crédito.

3. Estafas electrónicas
El hacer compras en línea mediante el uso de Internet o alguna red
de servicio, y no cumplir con lo establecido en el acuerdo de compra
en entregar el producto de forma completa o parcial se considera
fraude, lo que es muy común al hacer compras por Internet donde
se requiere pagar a la cuenta de alguna persona antes de recibir el
pedido.
Las personas que se dedican a este tipo de estafas, consiguen
clientes, gente que se interese en comprarles el producto que
venden y cuando esas personas se deciden por hacer la compra y
pagan a la cuenta que se les dio, ya no se entrega nada pues
lograron engañar a todas esas personas. 
También aquellos lugares o sitios donde se hacen citas, ofrecen
cosas que luego no son verdad, son estafas electrónicas. Lo que
hace que no se pueda tener la suficiente confianza para hacer las
compras en línea.
Por lo que lo mejor sería limitarse a hacer las compras solo en
aquellos lugares que están garantizados y son conocidos. Hay que
evitar aquellos que son sospechosos o que no son conocidos y no dan
confianza, porque ahí se podría generar una estafa.

4. Pesca u olfateo de contraseñas

Hacer uso de programas o métodos que puedan descifrar claves o

que puedan averiguar o buscarlas. Ya sean claves personales de una
cuenta de correo electrónico, contraseña para entrar al sistema,
claves de acceso a algún sitio, claves de productos, etc.
Para poder evitar un poco esto, se recomienda que las claves no
sean muy obvias, teniendo como respuesta el nombre de una
persona familiar, o el de la mascota de esa persona, fecha de
nacimiento, o frases que use comúnmente. También es importante
cambiar periódicamente las contraseñas para que así no sea
siempre una posibilidad de descifrar la contraseña.
5. Juegos de Azar

Los juegos de azar son aquellos juegos de casino o que hacen uso
del factor "suerte"
Para obtener ganancias a través de la red, donde se hacen apuestas
o inversiones de dinero.
Esto está prohibido en ciertos lugares, países o regiones, así que
solo aplica para ellos. Pues dependiendo de la Ley que tengan en
esos lugares, puede o no ser un delito. Y si se sorprende a una
persona obteniendo ganancias producto de los juegos de azar, se
hallará como cometiendo un delito. 
Esto puede ser debido a que se prestan mucho a estafas o
ganancias no justificadas y por lo cual no están permitidas en esos
lugares. 

6. Lavado de dinero 

Poner a funcionar el dinero producto del narcotráfico, o producto

de estafas, robos, fraudes o cualquier actividad ilegal. Pues este
dinero lo invierten en alguna actividad que aparenta no tener nada
de malo, y lo que se obtiene es producto de la inversión de dinero
mal obtenido, por lo que no está permitido el Lavado de Dinero.
Puede haber casinos electrónicos en los cuales se esté lavando el
dinero, o sorteos, o comercio como medio para el lavado de dinero.

7. Copia ilegal de software

Esta puede entrañar una pérdida económica sustancial para los

propietarios legítimos. Algunas jurisdicciones han tipificado como
delito esta clase de actividad y la han sometido a sanciones penales.
El problema ha alcanzado dimensiones transnacionales con el
tráfico de esas reproducciones no autorizadas a través de las
redes de telecomunicaciones modernas. Al respecto, consideramos,
que la reproducción no autorizada de programas informáticos no es
un delito informático debido a que el bien jurídico a tutelar es la
propiedad intelectual

8. Espionaje Informático

El acceso se efectúa a menudo desde un lugar exterior, situado en

la red de telecomunicaciones, recurriendo a uno de los diversos
medios que se mencionan a continuación. El delincuente puede
aprovechar la falta de rigor de las medidas de seguridad para
obtener acceso o puede descubrir deficiencias en las medidas
vigentes de seguridad o en los procedimientos del sistema. A
menudo, los piratas informáticos se hacen pasar por usuarios
legítimos del sistema; esto suele suceder con frecuencia en los
sistemas en los que los usuarios pueden emplear contraseñas
comunes o contraseñas de mantenimiento que están en el propio
sistema.

9. Infracción del copyright en bases de datos

Es la infracción de los derechos reservados del autor, ya que todo

producto de marca tiene sus derechos y el infringir y violar la
información de las bases de datos, ya sea ver, copiar, borrar,
alterar es también un delito.

10. Uso ilegítimo de Sistemas Informáticos ajenos

El usar un Sistema Informático de manera prohibida o incorrecta

fuera del propósito para el que fueron creados, o para obtener
ganancias a su autor o solo por cometer actos ilegítimos en contra
de alguien o algún Sistema.

11. Accesos no autorizados

El acceder a información, sitios o secciones que no están

autorizadas a usuarios comunes sino solo a aquellos que tienen
autorización. Acceso indebido. El que sin la debida autorización o
excediendo la que hubiere obtenido, acceda, intercepte, interfiera
o use un sistema que utilice tecnologías de información, será penado
con prisión de uno a cinco años de cárcel.

12. Interceptación de E-mail

Al enviar mensajes y correo electrónico a través de la Red, e

interceptar esos mensajes y desviarlos o eliminarlos, es un delito.
También esto podría entrar con los delitos de espionaje y podrían
acumularse por lo que la sentencia sería mayor. Aún más podría
aumentarse cuando hay una demanda por parte del afectado si
logra comprobarse.

13. Falsificación Informática

Como objeto. Cuando se alteran datos de los documentos

almacenados en forma computarizada.

Como instrumento. Las computadoras pueden utilizarse también

para efectuar falsificaciones de documentos de uso comercial.
Cuando empezó a disponerse de fotocopiadoras computarizadas en
color a base de rayos láser surgió una nueva generación de
falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras
pueden hacer copias de alta resolución, pueden modificar
documentos e incluso pueden crear documentos falsos sin tener que
recurrir a un original, y los documentos que producen son de tal
calidad que sólo un experto puede diferenciarlos de los documentos
auténticos.

4.4 TECNICAS UTILIZADAS PARA PERPETRAR LOS FRAUDES. 

1. LA TÉCNICA DEL CABALLO DE TROYA.

Consiste en insertar instrucciones, con objetivos de fraude, en los

programas aplicativos, de manera que, además de las funciones
propias del programa, también ejecute funciones no autorizadas.

Las instrucciones fraudulentas se esconden dentro de las demás,

obteniendo acceso libre a los archivos de datos, normalmente
usados por el programa.
Esta técnica es muy común debido a la facilidad que se presenta
para ocultar las instrucciones fraudulentas dentro de cientos de
instrucciones que generalmente componen los programas
aplicativos.

2. TÉCNICA DEL TALADRO.

Consiste en utilizar una computadora para llamar o buscar la manera

de entrar al sistema con diferentes códigos hasta cuando uno de
ellos resulte aceptado y permita el acceso a los archivos deseados.

Mediante e del sistema de ensayo permanente se descubren las

contraseñas del sistema para entrar a los archivos y extraer
información, en forma fraudulenta.

3. AGUJEROS DEL SISTEMA OPERATIVO O TRAMPAS-PUERTA.

Son deficiencias del sistema operacional, desde las etapas de
diseño original.

Los expertos programadores del sistema pueden aprovechar las

debilidades del sistema operacional para insertar instrucciones no
autorizadas, en dicho sistema, con el objeto de configurar fraudes
informáticos. Las salidas del sistema operacional permiten el
control a programas escritos, por el usuario, lo cual facilita la
operacionalizacion de fraudes. 

4. RECOLECCION DE BASURA

La recolección de basura es una técnica para obtener información

abandonada o alrededor del sistema de computación, después de la
ejecución de un JOB. Consiste en buscar copias de listados
producidos por el computador y papel carbón para de allí extraer
información, en términos de programas, datos, passwords y
reportes especiales básicamente. 

5. JUEGO DE LA PIZZA.

Es un método relativamente fácil para lograr el acceso no

autorizado a los centros de PED, así estén adecuadamente
controlados.
Consiste en que un individuo se hace pasar por la persona que
entrega la pizza y en esa forma se garantiza la entrada a las
instalaciones de PED durante y después de las horas de trabajo.

7. BOMBAS DE RELOJERÍA O BOMBAS LÓGICAS.

Las bombas lógicas son una técnica de fraude, en ambientes

computarizados, que consiste en diseñar e instalar instrucciones
fraudulentas en el software autorizado, para ser activadas cuando
se cumpla una condición o estado específico.

Esta técnica de fraude, es difícil de descubrir, porque mientras no

sea satisfecha la condición o estado especifico, el programa
funciona normalmente procesando los datos autorizados sin arrojar
sospecha de ninguna clase.

8. SUPERZAPPING.

Deriva su nombre de superzap, un programa utilitario de IBM de un

alto riesgo por sus capacidades.
Permite adicionar, modificar y eliminar registros de datos, datos de
registros o agregar caracteres dentro de un archivo maestro, sin
dejar rastro y sin modificar ni corregir los programas normalmente
usados para mantener el archivo.

Este programa permite consultar los daros para efectos de

conocimiento o para alterarlos omitiendo todos los controles y
seguridades en actividad establecidos.

8. MANIPULACIÓN DE TRANSACCIONES.

La manipulación de transacciones ha sido el método más utilizado

para la comisión de fraudes, en ambientes computarizados.
El mecanismo para concretar el fraude sistémico o informático,
consiste en cambiar los datos antes o durante la entrada al
computador. Puede ser ejecutado por cualquier persona que tenga
acceso a crear, registrar, transportar, codificar, examinar,
comprobar o convertir los datos que entran al computador.
Por ejemplo alterar los documentos fuente y modificar el contenido
en alto relieve de las tarjetas de crédito entre otros.
http://audisistemas2009.galeon.com/productos2229079.html

5. Ir a Cuestas para tener Acceso no Autorizado.

Si los perpetradores no pueden construir una puerta levadiza, si la evasivaastuta es abatida o si

no funciona la ingeniería social, el ir sobre los hombroso sobre las espaldas puede ser la
alternativa para los criminales.“Ir a cuestas” es un paseo que se da el perpetrador con la gente
influyente yque es aprovechado para realizar sus hazañas de prestidigitador
(tramposo)conducente a abrir las líneas de comunicación, abrir las puertas del centro
decómputo, lograr acceso a las terminales y otras proezas para violar laseguridad de los
sistemas computarizados.Esta técnica varía desde trampas muy simples hasta tretas
electrónicascomplejas.Ejemplo:Ir a cuestas para entrar a una sala de cómputo bien protegida
contra accesono autorizado. Para ingresar a la sala debe insertarse una tarjeta de
bandamagnética en la ranura de la puerta. Cuando la persona autorizada pasa, lapuerta se
cierra automáticamente; sin embargo, la tecnología tiene queconceder suficiente tiempo para
que pueda entrar un empleado cargado concinta o discos. Un criminal “ir a cuestas” puede
entrar a la sala de computomientras la puerta permanece abierta.Esta técnica también
funciona cuando una terminal se abre por medio de unacontraseña. También puede usarse
para que información no autorizadaemplee las mismas líneas de comunicación que la
información autorizada.

6. La Técnica del Caballo de Troya.

Esta técnica es llamada así por la táctica militar que ayudó a los griegos aconquistar Troya.
Consiste en insertar una rutina fraudulenta que se activacuando cierta condición o una fecha
ocurren.Estas rutinas pueden ser introducidas preferiblemente adicionando un cambiono
autorizado en el momento de implantar un cambio autorizado.

7. Técnica del Taladro.

Consiste en la utilización de una computadora casera para llamar condiferentes códigos hasta
que uno de resultado.Puede ser utilizada para descubrir las contraseñas de acceso a
terminales.En USA, Pepsi Cola Co. se vio seriamente abochornada cuando cuatrochicos de 14
años descubrieron los códigos de seguridad de una de suscomputadoras en Canadá y
ordenaron para sí cajas gratis de bebidasgaseosas.

8. Agujeros del Sistema Operativo o Trampas-Puerta.

Trampas-Puerta son deficiencias en los sistemas operacionales. Como en“Alicia en el País de

las Maravillas”, existen muchos agujeros que permitencaer en el país de las maravillas.El uso
de unas cuantas instrucciones de control son suficientes para cometerfraudes, sin necesidad
de que el perpetrador sea un experto enprogramación. Basta con que el System Programmer
sea suficiente experto ypuede aprovechar esos agujeros para introducir instrucciones
adicionalesmalintencionadas.

9. Utilizar la Apatía del Usuario.

Cuando los usuarios llegan a ver los sistemas como “cajas negras mágicas”,esos usuarios se
convierten en personas “demasiado creyentes”. Esto es,creen que si la computadora lo hizo,
debe estar correcto; por consiguiente,¿por qué permitir que unos cuantos mensajes de error
arruinen su día?De otra parte, algunos usuarios llegan a familiarizarse con la experiencia deque
archivando las fastidiosas salidas con mensajes de error, tres díasdespués desaparecen. Esta
situación puede ser aprovechada por elprogramador para cometer fraudes.

10 Juego de la PIZZA.

Es una técnica para tener fácil acceso a salas de cómputo estrechamentecontroladas.

Utilizando el juego de la Pizza, el perpetrador se hace pasar porla persona que entrega la pizza.
Con este disfraz, el individuo se garantiza elacceso inmediato a la sala de cómputo durante y
después de las horasnormales de trabajo.

11 Bombas de Relojería o Bombas Lógicas.

Colocación de instrucciones malintencionadas dentro de un programainofensivo, para ser

activadas en fechas determinadas o por cierto estímulo.Por ejemplo, unos estudiantes
Londinenses programaron un terminal dedemostración para que exhibiera obscenidades en la
pantalla cuando fueraaccesada por un determinado dignatario visitante.

12 Superzapping.

Utilización de programas de acceso universal de algunos computadores (unaespecie de llave

maestra) para pasar por sobre todos los controles normalesy permitir el acceso a todos los
archivos de datos.Esta técnica es especialmente peligrosa porque, en manos diestras, no
dejarastros o indicios. Puede ser utilizada para manipular directamente losarchivos
maestros.En IBM existen programas de utilidad como SUPERZAP (Ver Ditto) y DFUque pueden
ser utilizados para cometer fraudes. Por este motivo, algunosdenominan a este técnica
SUPERZAPPING.Estos programas de utilidad están ubicados frecuentemente en libreríasdonde
los puede usar cualquier programador u operador que conozca suexistencia.

13 Manipulación de Transacciones.

Es el método más frecuentemente utilizado, consiste en cambiar lainformación antes o

durante la entrada al computador.Puede ser perpetrado por cualquier por cualquier persona
que tenga accesoal proceso de crear, registrar, transportar, codificar, examinar o convertir
lainformación que entra al computador. Se comete agregando transacciones noautorizadas,
alterando transacciones, no procesando transacciones ocombinando varios
métodos.Manipulación: maniobra o manejo destinado a engañar.Intercepción de Líneas de
Comunicación de Datos.Se intervienen los circuitos de comunicación entre:

Terminales y concentradores.

Terminales y computadores

Computadores y computadoresLa intercepción de comunicaciones por teléfono, microondas o

satélite, estécnicamente posible.El uso de hardware de criptografía es un método efectivo para
evitar este tipode penetración.

SEMINARIO – TALLER DISEÑO DE CONTROLES INTERNOS PARA SISTEMASDE INFORMACION

MODULO VDISEÑO DE CONTROLES PARA LA PREVENCION DE DELITOS CON EL COMPUTADOR