Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 1
XI CONGRESO INTERNACIONAL DE LA ACADEMIA DE CIENCIAS ADMINISTRATIVAS, A.C. (ACACIA)
GUADALAJARA, JALISCO, MÉXICO “CIENCIA, TECNOLOGÍA E INNOVACIÓN RETOS PARA LA ADMINISTRACIÓN DEL SIGLO XXI”
23, 24 y 25 DE MAYO DE 2007
TÍTULO DE LA PONENCIA:
“VULNERABILIDAD DE LOS SISTEMAS, DELITOS POR COMPUTADORA Y MEDIDAS DE SEGURIDAD EN LA INFORMACIÓN”
MESA DE TRABAJO:
INNOVACIÓN Y TECNOLOGÍA
NOMBRE DEL AUTOR RESPONSABLE:
C.P.C. SANTIAGO LECHUGA SUAZO Correo electrónico personal: [email protected] Teléfono de Casa (01) (55) 24521879 Domicilio: Nilo No. 232 Departamento 3, Colonia Clavería
Delegación Azcapotzalco, México, D.F., Código Postal 02080
INSTITUCIONES DE ADSCRIPCIÓN:
U.N.A.M. (EGRESADO) FACULTAD DE CONTADURÍA Y ADMINISTRACIÓN Candidato a la obtención del Grado de Maestro en Auditoría Departamento de Vinculación y Grados Académicos Teléfono: (01) (55) 56228467
TEMA DE TESIS DE MAESTRÍA: Consideraciones de Fraude en la Auditoría de Estados Financieros
CÍA. DE LUZ Y FUERZA DEL CENTRO (LUGAR DE TRABAJO) Av. Melchor Ocampo No. 171, Colonia Tlaxpana (Órgano Interno de Control 3er Piso) Delegación Miguel Hidalgo, Código Postal 11379, México, D.F. Teléfonos: Oficina (01) (55) 51287271.
EXPERIENCIA DOCENTE: A nivel licenciatura de las carreras contaduría y administración, en Instituciones públicas y privadas durante 7 años.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 2
TÍTULO DE LA PONENCIA:
“VULNERABILIDAD DE LOS SISTEMAS, DELITOS POR COMPUTADORA Y MEDIDAS DE SEGURIDAD EN LA INFORMACIÓN”
Resumen
En el presente artículo de investigación se exponen aspectos relacionados con la
administración de los recursos de la tecnología de la información. Primero, se muestra
las fallas y vulnerabilidad de los sistemas de información, segundo, se describen las
amenazas a dichos sistemas a través de la comisión del delito de fraude que atenta
contra el patrimonio de las personas, citado con frecuencia en los ambientes
empresariales, y análisis de la variedad de ese delito como son los ataques o daños al
contenido de los sistemas computarizados (delitos informáticos) debido a la evolución
de los delitos por computadora y a la época de la economía digital, además se incluye
análisis sobre las causas a esos actos debido a un posible mal funcionamiento; tercero,
se exponen los puntos principales relacionados a la protección de los sistemas de
información, clasificado en controles generales y en controles de aplicación, cuarto, se
describe la importancia de la auditoría a los sistemas de información así como las
medidas de seguridad en información. La administración de los sistemas de información
representa el uso y control de recursos técnicos, excepto que a la vez existen
problemas administrativos a resolver, porque su operación está inmersa a las
organizaciones de cualquier tamaño, así también se hace énfasis de aquellas
amenazas de riesgos que atentan la seguridad física y lógica de la administración de
estos recursos.
Palabras clave: Fallas de sistemas de información, Vulnerabilidad de los sistemas, Delitos por Computadora, Protección de los Sistemas de Información y Auditoría a la tecnología de información.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 3
Introducción
La mayor parte de las grandes corporaciones, medianas, e incluso pequeñas; alrededor
del mundo, dependen en grado sumo de la tecnología de la información. Sus sistemas
de información tienen una importancia estratégica considerable así como la
administración de los recursos de dichas tecnologías. Sin lugar a dudas los sistemas de
información pueden convertirse en un peligroso y costoso problema cuando se
colapsan. Los recursos de información que incluyen computadoras, redes, programas y
datos resultan vulnerables a los ataques impredecibles. Ahora la protección de sistemas
conectados en red puede ser un problema complejo, la responsabilidad para proteger y
administrar recursos de información se divide entre el departamento de sistemas de
información y los usuarios finales; la división no es clara en una centralización o
descentralización por otra parte, sólo las compañías que utilizan la planeación y la
recuperación ante desastres reciben adecuada protección de su información.
Las acciones de la gente o de la naturaleza pueden provocar que un sistema de
información funcione de una manera diferente a la que fue planeada. Es importante, por
lo tanto, saber cómo asegurar la operación continua de un sistema de información y qué
hacer si el sistema se colapsa. Esta problemática resulta de interés para la
administración de los recursos de información: las telecomunicaciones, redes locales,
software, hardware, Internet, Intranet, Extranet, y otros recursos con lenguajes
complejos, por ejemplo, las redes neuronales y los sistemas difusos.
Amenazas y ataques en la tecnología de computación forman parte del lenguaje común
de las organizaciones, todos los días se publican noticias acerca de errores de datos,
robos, allanamientos de morada, incendios y sabotajes relacionados con las
computadoras. Si existe escasa seguridad de las computadoras y añadimos la carencia
de controles internos, estas dos deficiencias incrementan considerablemente la
vulnerabilidad en los sistemas de una organización ante:
§ Perpetración de fraudes.
§ Robo de información electrónica,
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 4
§ Robo de información física, como impresiones o discos y cintas de computadora.
§ Invasión de la privacidad.
§ Daño a computadoras y equipos periféricos.
§ Intercepción de comunicaciones.
§ Grabación ilegal de emanaciones electromagnéticas de computadoras.
§ Errores de datos involuntarios debidos a descuidos o negligencia.
§ Pérdida de la integridad de la información a través de alteraciones y modificaciones
no autorizadas de datos.
§ Sabotaje por empleados inconformes o por competidores.
§ Fallas de energía eléctrica.
§ Uso no autorizado de marcas o invenciones industriales.
Los seguros contratados contra delitos cubrirán áreas como robo, fraude, destrucción
intencional y falsificación. El seguro por interrupción de los negocios cubre pérdida de
ganancias durante el tiempo de inactividad de la operación, incluyendo al equipo de
cómputo en tránsito. Es recomendable realizar un análisis de riesgo al planificar las
políticas de seguridad informática y de soporte financiero. Los riesgos de seguridad en
los equipos de cómputo se clasifica en ataques intencionales a la organización y al
medio ambiente. La amenaza proviene de delincuentes computacionales y de
empleados inconformes que intentan defraudar, sabotear, “hackear” y “crakear”. Esta
amenaza también proviene de usuarios finales descuidados o negligentes. Por último,
la amenaza en ocasiones proviene del medio ambiente; una organización debe
protegerse de desastres como incendios, inundaciones y terremotos.
Ante los delitos por computadora y desastres provocados por la naturaleza a los
equipos computacionales, el director de información recurrirá a la protección de los
sistemas de información, las medidas de seguridad y controles funcionales, estrategias
de defensa, la aplicación cuidadosa de los controles generales y de aplicaciones,
controles de comunicaciones, protección de redes y firewalls, auditoría de sistemas de
información, planeación de recuperación de desastres y el control y seguridad en el
siglo XXI.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 5
1. Los riesgos en los sistemas de información
La información se transmite hacia la organización y desde ésta y entre los componentes
de la misma, los empleados viajan con sus computadoras y datos corporativos y los
llevan a casa. Los recursos físicos de los sistemas de información, los datos, el
software, los procedimientos y cualquier otro recurso de información se encuentran
vulnerables en muchos lugares y en cualquier momento. Antes de tratar los problemas
relacionados con la seguridad en la información y las soluciones propuestas, a
continuación citamos algunos términos relacionados con el tema:
• Amenazas (o peligros): los diversos peligros a los cuales quizás pueda estar
expuesto el sistema.
• Controles de los sistemas de información: los procedimientos, dispositivos o
software cada uno intentan asegurar que el sistema se desempeñe como se planeó.
• Desencriptado: transformación de un código confuso en datos legibles después de
la transmisión.
• Encriptado: transformación de los datos en un código confuso antes de su
transmisión.
• Exposición: el perjuicio, pérdida o daño que puede resultar si algo ha estado
incorrecto en un sistema de información.
• Integridad (de datos): una garantía de la precisión, integridad y confiabilidad de los
datos. La integridad del sistema depende de la integridad de sus componentes y su
información. Respaldo: una copia de los datos y/o de los programas que se mantiene en un lugar (es) seguro (s).
• Riesgo: la probabilidad de que se materialice una amenaza.
• Tolerancia a fallas: la capacidad de un sistema de información para continuar
operando (usualmente por un tiempo limitado y/o a una escala reducida) cuando se
presenta una falla.
• Vulnerabilidad: puesto que exista una amenaza, la susceptibilidad del sistema al
daño provocado por la amenaza. Los negocios que dependen de las computadoras
tienen un serio problema cuando ocurre un desastre, los sistemas de información
pueden sufrir daños por varias razones, por ejemplo, el Cuadro 1 muestran los
incidentes de fallas en los sistemas referidos.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 6
Cuadro 1
CASOS REPRESENTATIVOS DE FALLAS EN LOS SISTEMAS DE INFORMACIÓN
No. Descripción
1 El domingo 8 de mayo de 1998, un incendio deshabilitó un gran centro de conmutación de Illinois Bell en Hinsdale, Illinois. La salida del servicio afectó las telecomunicaciones de voz y datos de más de 500,000 residentes y de cientos de empresas durante un periodo que varió entre dos días y tres semanas. Los principales efectos en las empresas incluyeron: • Docenas de bancos no pudieron cambiar cheques y transferir fondos. • Al menos 150 agencias de viajes sin reservar e imprimir boletos. • Cerca de 300 cajeros automáticos quedaron fuera de servicio. • La mayor parte de los teléfonos celulares y sistemas de paginación de
interrumpieron. • Cientos de compañías vieron obstaculizadas sus operaciones, tanto en el
interior como en el exterior de su área inmediata. • Los costos de los negocios se estimaron en $300 millones de dólares.
2 Un cajero automático ubicado en un centro comercial en Hartford, Connecticut, daba a los clientes la nota de disculpa: “lo sentimos, servicio no disponible”. Entre tanto, la máquina registraba los números de tarjeta y los NIP de los cientos de clientes en sus intentos por obtener el servicio de la máquina. En mayo de 1993, mientras la máquina descompuesta operaba en el centro comercial, empezaron a ocurrir robos hormiga a los clientes de Hartford, los ladrones extrajeron cerca de $100,000 dólares de las cuentas de clientes inocentes. Los criminales lograron que un cajero automático hiciera algo para lo cual supuestamente no está diseñado: violar su propia seguridad registrando números de tarjetas bancarias junto con códigos de seguridad personal.
3 Los Angeles Times informó, en 1996: “Las computadoras provocan un error de $850 millones de dólares en el Social Security”. El mal funcionamiento dio lugar a un cálculo incorrecto de las pensiones de 700,000 estadounidenses y nadie se dio cuenta de ello durante casi 23 años, hasta que el problema salió a la luz durante una auditoría realizada en 1994. Aunque el periódico culpó a las computadoras, en realidad la falla correspondía a los programadores, que fueron incapaces de automatizar en una forma apropiada los complejos cálculos de las pensiones. Reparar el daño tardó más de tres años.
4 En 1994, un hacker ruso (¡que no sabía inglés!) irrumpió en el sistema de transferencia electrónica de fondos del City Bank y robó más de $10 millones de dólares distribuyéndolos en cuentas alrededor del mundo. Desde entonces, City Bank, un gigante bancario que maneja más de un billón de dólares diarios, aumentó sus medidas de seguridad, lo que requirió que los clientes utilicen dispositivos electrónicos que crean nuevos números confidenciales con bastante frecuencia.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 7
Estos incidentes ilustran la vulnerabilidad de los sistemas de información de causas de
los problemas de seguridad en las computadoras y los daños causados sustanciales
para las organizaciones. (Turban, McClean y Wetherbe, 2006: 787). Cada sistema de
información es vulnerable a muchos peligros potenciales. La Gráfica 1 presenta un resumen de las principales amenazas para la seguridad de estos sistemas. La
vulnerabilidad de los sistemas de información se incrementa a medida que nos
movemos al mundo del cómputo en red. Las amenazas no intencionales se dividen en: errores humanos, peligros del entorno y fallas de los sistemas computarizados. 1 Los
problemas de las computadoras surgen a partir de errores humanos. Asimismo, pueden ocurrir en la programación, la prueba, la recolección de datos, la entrada de los mismos,
la autorización y las instrucciones. Los errores humanos contribuyen a la vasta mayoría
de problemas relacionados con el control –y la seguridad en muchas organizaciones.
Los Peligros del entorno incluyen terremotos, huracanes, nevadas intensas,
tolvaneras, las tormentas, inundaciones, tornados, fallas del suministro eléctrico o sus
fluctuaciones severas, incendios (el más común de los peligros), acondicionamiento de
aire defectuoso, explosiones, precipitaciones radioactivas y fallas de los sistemas de
enfriamiento por agua. Además del daño de la combustión, los recursos de cómputo
pueden dañarse por causa de otros elementos que acompañan a los incendios, como el
humo, el calor y el agua. Estos peligros quizás perturben las operaciones de cómputo
normales y den lugar a prolongados periodos de espera y a costos exorbitantes, en
tanto se vuelvan a crear los programas de computadora y los archivos de datos. Las fallas de los sistemas computarizados son producidos por una pobre manufactura o por materiales peligrosos, o por la falta de experiencia y hasta por la incompatibilidad del
software. A fin de estar preparados para estos eventos deberá implantarse un plan.
________________________ 1 Esta división de amenazas no intencionales corresponde a los autores arriba citados.
NOTA: En el ámbito del derecho penal mexicano, al tratar el delito de fraude nos indica que el agente
infractor siempre tiene en su mente la astucia e inteligencia para cometer intencionalmente el delito de
fraude (genérico, específico o equiparado), “el fraude sólo se puede presentar en forma dolosa” el cual
siempre está orientado a obtener un beneficio individual a costa del engaño a su víctima. Opinión de
Sergio García Ramírez, (Prólogo, p. XXV), El delito de fraude (Reflexiones), Editorial Porrúa, México, 2005, autores López Betancourt y Porte Petit.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 8
Gráfica 1
Diafonía
FUENTE: Amenazas de seguridad. (Gallegos y Wright, 1998, p.12, Warren, Gorham & Lamont. Citado
por los autores (Turban, McClean y Wetherbe, 2006: 787).
Base de datos • Acceso no autorizado • Copia • Robo
Base de Datos
Reglas de acceso
Hardware • Falta de los mecanismos
de protección • Contribución a la falta de
software
Terminales • Localizadas en un
entorno inseguro
Programación de aplicaciones • Se comportan de
modo contrario a la especificación
Programador de sistemas • Desviación de los mecanismos de
seguridad • Inhabilitación de los mecanismos
de seguridad • Instalación de un sistema inseguro
Operador • Duplicación de
informes confidenciales
• Inicio de un sistema inseguro
• Robo de un material confidencial
Terminal de usuarios • Identificación
fraudulenta • Fuga ilegal de
información autorizada
Procesador
Autorización • Especificación
Incorrecta de la Política de seguridad
Software de sistemas • Falta de los mecanismos
de protección • Fuga de información
Radiación
Entorno externo • Desastres naturales • Ataques mal intencionados • Acceso no autorizado al centro de
cómputo
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 9
Planeación de la recuperación ante desastres
Como se describió, los desastres tal vez ocurran en muchos lugares sin aviso. La mejor
defensa consiste en estar preparado. En consecuencia, un elemento importante en
cualquier sistema de seguridad es el plan de recuperación de desastres. La
destrucción de la totalidad (o de la mayor parte) de las instalaciones de cómputo puede
provocar un daño importante. De tal modo, para muchas organizaciones resulta difícil
obtener seguridad para sus computadoras y sistemas de información si no presentan un
plan satisfactorio de prevención y de recuperación ante desastres. La recuperación ante
desastres es la cadena de eventos que vinculan la planeación con la protección para la
recuperación. La siguiente es una lista de ideas principales:
• El propósito de un plan de recuperación es mantener la operación de los negocios
después de que ocurre el desastre. Tanto el departamento de sistemas de
información como la administración de línea deben involucrarse en la elaboración
del plan. Cada función en el negocio debe tener un plan válido de capacidad de
recuperación.
• El plan de recuperación forma parte de la protección de los activos. Toda organización debe asignar la responsabilidad a la dirección para identificar y
proteger los activos dentro de sus esferas de control funcional.
• La planeación debe enfocarse primero en la recuperación de una pérdida total de
todas las funciones.
• La prueba de funciones suele incluir algún tipo de análisis “qué pasa si” que muestra
el plan de recuperación está en marcha.
• El plan debe mantenerse en un lugar seguro. Deben proporcionarse copias a todos
los ejecutivos principales; y debe auditarse en una forma periódica.
• Todas las aplicaciones críticas serán identificadas y sus procedimientos de
recuperación indicadas en el plan (es compleja la planeación de recuperación de
desastres y lleva tiempo para terminarse.
• El plan debe escribirse de modo que resulte efectivo en caso de desastre, no sólo
con el fin de satisfacer a los auditores.
La planeación de desastres es un método orientado a evitar que éstos ocurran. La idea consiste en minimizar la oportunidad de desastres que pueden prevenirse (como
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 10
un incendio u otras amenazas provocadas por seres humanos). Por ejemplo, las
compañías utilizan un dispositivo llamado suministro de potencia ininterrumpible (SPI),
que proporciona potencia en caso de un interrupción del suministro eléctrico. Las medidas de respaldo en caso de un desastre mayor, a menudo es necesario mover una instalación de cómputo centralizado a otro lugar de respaldo. (Turban, McClean y
Wetherbe, 2006: 806807). Los riesgos en los sistemas se localizan en el hardware, el
software (aplicaciones y datos) y en los sistemas de comunicaciones.
2. Amenazas intencionales y los delitos por computadora:
§ Robo de datos y diversos abusos por computadora y delitos.
§ Uso inapropiado de datos (por ejemplo, manipulación de entradas).
§ Robo del tiempo de cómputo del mainframe.
§ Robo de equipo y/o programas.
§ Manipulación deliberada en el manejo, la alimentación, el procesamiento, la
transferencia o la programación de datos.
§ Huelgas de trabajadores, disturbios o sabotaje.
§ Daño doloso de los recursos de cómputo.
§ Destrucción por virus y ataques similares.
De acuerdo con el Computer Security Institute, el 64% de todas las organizaciones
sufrieron delitos por computadora en 1997 (Los Angeles Times, 5 de marzo de 1998, p.
D2). El número, la magnitud y la diversidad de los delitos de abusos por computadora
crece con mucha rapidez. Recientemente, se ha vuelto evidente el creciente número de
fraudes relacionados con Internet y con el comercio electrónico. Los tipos de delitos
por computadora y criminales en muchas formas, se asemejan a los delitos
convencionales. La computadora puede ser el blanco del crimen, también puede constituir el medio del ataque al crear un ambiente donde envuelve el delito; por ejemplo, se alimentan datos falsos en un sistema de cómputo para engañar a las
personas que examinan los estados financieros de una compañía –sin averiguación ni
aviso al equipo de auditores a veces se utiliza la computadora para planear un delito,
aunque éste no la incluye, por citar otro caso, un corredor de acciones robó 50 millones
de dólares convenciendo a sus clientes de que él contaba con un programa
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 11
computarizado con el que podría incrementar la rentabilidad de su inversión en un 60%
mensual. Los delitos los pueden efectuar extraños que penetran al sistema de cómputo (con frecuencia mediante líneas de comunicación) o por miembros internos a quienes se autoriza utilizar el sistema computarizado pero que hacen mal uso de ello. Hacker es
el término que a menudo se utiliza para describir a las personas extrañas que penetran
en un sistema de cómputo. Un cracker constituye un hacker malicioso que representa un serio problema a la corporación. Los criminales computarizados, ya sean miembros
internos o extraños, tienen un perfil distinto y los impulsan diversos motivos, (ver
Cuadro 2). En consecuencia, resulta difícil predecir quién se convertirá en un criminal
computarizado. Éstos utilizan métodos de ataque diversos frecuentemente innovadores.
Cuadro 2
EL CRIMINAL COMPUTARIZADO: PERFIL Y MOTIVACIÓN
EL PERFIL LA MOTIVACIÓN
Sexo: hombres blancos entre 19 y 30 años sin antecedentes criminales. (Las mujeres tienden a ser cómplices).
Económica: necesidad urgente de dinero (por ejemplo, debido a un estilo de derroche, al juego, a una enfermedad familiar o al abuso de drogas).
Ocupación: programadores de aplicaciones, usuarios de sistemas, personal de oficinas, estudiantes o ejecutivos.
Ideológica: engañar al sistema se considera como un juego agradable a que “el sistema engaña a todos”.
IQ: alto IQ, brillante, agradable y creativo. Egocéntrica: derrotar al sistema es divertido, desafiante y una aventura. El egocentrismo parece ser el motivo que más distingue a los criminales computarizados.
Aspecto: aparentemente seguro de sí mismo, impaciente y dinámico.
Psicológica: dominar incluso al patrón, a quién el empleado percibe frío, indiferente e impersonal.
Aptitud para el trabajo: aventurero, dispuesto a aceptar retos técnicos y altamente motivado.
Otras: el empleado se considera a sí mismo como un “prestatario” del software, por ejemplo, no como un ladrón.
FUENTE: basado en Bologna (1987). Citado por los autores (Turban, McClean y Wetherbe, 2006: 790).
2.1 MÉTODOS DE ATAQUE: Se recurre a dos planteamientos básicos en los ataques
deliberados sobre sistemas de cómputo: alteración de datos y técnicas de
programación.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 12
La alteración de datos (“desordenamiento de datos”) es el planteamiento más común y
consecuencia recurren a él los empleados internos. Se refiere a alimentar datos falsos,
fabricados o fraudulentos dentro de la computadora o al cambio o eliminación de datos
existentes. Por ejemplo, para pagar la compra de medicinas de su esposa, un
programador de ahorros y préstamos, transfirió 5,000 dólares a su cuenta personal y
trató de cubrir la transferencia con transacciones telefónicas de débito y crédito. Los
criminales computarizados recurren también a las técnicas de programación para modificar un programa de computadora, ya sea directa o indirectamente. Para este
crimen, las capacidades de programación y el conocimiento de los sistemas objetivos
resultan esenciales. El Cuadro 3 muestra los esquemas de fraudes de programación
que se presentan bajo muchos nombres.
Cuadro 3 TEMAS DE PROGRAMACIÓN DE FRAUDE
Técnica de programación Definición
Virus Instrucciones secretas insertadas dentro de programas (o datos) que se ejecutan inocentemente durante tareas ordinarias. Las instrucciones secretas tal vez obstruyan o alteren los datos, además de diseminarse dentro o entre sistemas computarizados.
Gusanos Un programa que se duplica por sí solo y penetra a un sistema computarizado válido. Tal vez se difunda dentro de una red, penetrando en todas las computadoras conectadas.
Caballo de troya Un programa ilegal, contenido dentro de otro programa que “está latente” hasta que ocurre algún evento específico, desatando luego la activación del programa ilegal y la producción de daños.
Rebanada de salami Un programa diseñado para extraer pequeñas cantidades de dinero de varias transacciones grandes, de manera que la cantidad extraída no se manifieste con facilidad.
Super zapping Un método consistente en utilizar un programa “zap” de utilería que puede desviar controles para modificar programas o datos.
Puerta trasera Una técnica que permite entrar al código de un programa, posibilitando instrucciones adicionales.
FUENTE: basado en Bologna (1987). Citado por los autores (Turban, McClean y Wetherbe, 2006: 791).
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 13
Debido a su frecuencia, el tema de los virus informáticos merecen una mención
especial en este momento. VIRUS. El virus, el método de ataque que recibe más
publicidad, debe su nombre a la capacidad del programa para pegarse por sí solo a
otros programas de computadora, causando que se conviertan en sí mismos un virus.
Éstos pueden diseminarse con gran rapidez a través de un sistema de cómputo. En
virtud de la disponibilidad de software de dominio público, que se utiliza ampliamente en
las redes de comunicaciones, así como en Internet, los virus también se diseminan en
muchas organizaciones como se mostró en los incidentes mencionados en el Cuadro 1
anteriormente. Se sabe de algunos virus que se han dispersado por todo el mundo.
Algunos de los más notables son los “internacionales”, como el Michelangelo, el
Pakistani Brain y el Jerusalén. Cuado un virus se une a un programa de software
legítimo, éste de infecta sin que su propietario esté consciente del contagio (Gráfica 2,
Fuente: cortesía de Thumbsan). Por lo tanto, cuando se usa el software, el virus se
disemina provocando daños a ese programa y posiblemente a otros. De tal modo, el
software legítimo está actuando como un caballo de Troya. El diagrama siguiente presenta la clasificación del fraude en los sistemas computarizados. El Cuadro 4
muestra las técnicas más utilizadas por los defraudadores de computadoras.
Gráfica 2
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 14
2.2 El fraude en los sistemas computarizados Clasificación de los riesgos según su origen:
De la naturaleza a) Incendio. b) Inundación. c) Terremoto.
a) Daño de la computadora. b) La unidad daña el disco o la cinta. c) El disco o la cinta. d) El disco o la cinta no se pueden leer. e) Daño de la impresora. f) Daño del equipo de transcripción.
Fallas de hardware g) Daño en la transmisión. h) Daño de la información en C.D. i) Caída del sistema en cajeros automáticos. j) Fallas técnicas en la lectura de tarjetas débito. k) Dobles procedimientos en el registro de
operaciones.
a) Reporte Error de b) Transcripción
c) Transmisión
Fallas humanas
a) Programador Error del b) Operador
c) Cintotecario
a) Saqueos. b) Sabotajes con o sin violencia. c) Violación de la privacidad. d) Fraude. e) Colusión. f) Acceso indebido de información confidencial. g) Adquisición de información para la competencia. h) Modificación de registros.
Fallas humanas i) Instalación de virus para borrar datos. Intencionales j) Pánico económico mediante el uso de correo
electrónico. k) Ofrecimiento de servicios de Internet con fines mal intencionados. l) Manejo de páginas Web. m) Suplantación de firmas reconocidas. n) Manipulación de código de barras. o) Uso de mecanismos fraudulentos en cajeros
automáticos. Fuente: Estupiñán Gaitán, 2002: 281282.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 15
Cuadro 4
TÉCNICAS UTILIZADAS POR LOS DEFRAUDADORES DE COMPUTADORA
Técnica utilizada Descripción
Manipulación de transacciones. Consiste en cambiar los datos antes o durante la entrada a la computadora por personal facultado.
Las bombas lógicas. Dar instrucciones fraudulentas en el software autorizado, al cumplir una condición específica.
Trampaspuerta. Deficiencias del sistema operacional original, los programadores del sistema dan instrucciones para operar fraudes en numerosas opciones.
Evasiva astuta. Técnica conocida como parches: comunicación con el lenguaje de la máquina para cambiar datos.
Recolección de basura. Obtención de información abandonada en papel, programas, datos, passwords y reportes.
Ir a cuestas para tener acceso no
autorizado.
Utilizar los recursos del sistema de dos maneras: accesos clandestino físico y electrónico ambos a cuestas de un miembro influyente.
Puertas levadizas. Utilizar datos sin autorización mediante rutinas de programas o dispositivos del hardware.
Técnicas de taladro. Llamar o buscar entrada al sistema con diferentes códigos hasta descubrir contraseñas y archivos.
Intercepción de líneas de comunicación. Establecer conexión secreta telefónica o telegráfica para interceptar mensajes.
Modalidades de fraude con tarjetas y
cajeros automáticos.
Clonación de tarjetas de crédito o débito y colocación de plaquetas a los cajeros automáticos.
FUENTE: (Estupiñán Gaitán, 2002: 283287).
2.3 Modalidades de fraude con tarjetas y cajeros automáticos: Tarjeta caliente,
tarjeta alterada, falsificación integral, comprobantes previamente elaborados,
falsificación de la banda magnética, fraudes con telemercadeo, uso indebido de la
tarjeta, suplantación de la razón social, tarjeta expedida con datos falsos, suplantación
del tarjetahabiente, tarjetas dobles y fuga de información general.
2.4 Las operaciones delictivas en ambientes de cómputo: Análisis de los listados
de consola, análisis de los listados producidos por las rutinas de contabilidad del
sistema, revisión de uso de programas de utilidad, fraude electrónico, pánico económico
en Internet, acceso indebido a bases de datos, modificación de archivos, virus para
borrar información, robo de CD y de copias de seguridad, e interferencia electrónica,
transferencias bancarias millonarias no autorizadas, y venta de listados de clientes para
beneficio personal.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 16
2.5 Fraudes y control en las organizaciones virtuales. El avance tecnológico y la
tendencia moderna de las organizaciones ante la competencia, nos muestra que día a
día las empresas reducen su logística para ser más eficientes y mas livianas en sus
costos de operación; con la aparición masiva de Internet nace una nueva cultura en el
mundo, pasando de la cultura de la información y del conocimiento; es así como el
control físico de documentos y bienes ahora intangible; esto implica un auge en los
negocios pero también un auge en el delito ya que las transacciones serán electrónicas;
es aquí precisamente cuando los organismos de control deben orientar sus esfuerzos
para combatir el delito con modernas técnicas de análisis de información soportadas
especialmente por programas y tecnologías a la par con los avances actuales.
De acuerdo con el FBI, un robo promedio implica $3,000 dólares; un delito de cuello
blanco promedio corresponde a 23,000 dólares; pero un delito por computadora
promedio implica cerca de 600,000 dólares. Las siguientes son algunas de las leyes
federales en Estados Unidos relativos a los delitos computarizados:
• Counterfeit Access Device y Computer Fraud Act (aprobada en octubre de 1984).
• Computer Fraud y Abuse Act, (1986).
• Computer Abuse Amendment Act, de 1994 (prohíbe la transmisión de virus).
• Computer Security Act, de 1987.
• Electronic Communications Privacy Act, 1986.
• Electronic Founds Transfer Act, 1980.
Y, existe la ACFE (Association Certified of Fraud Examiners), agrupación americana
dedicada al entrenamiento de examinadores certificados contra el fraude.
3. Protección de los sistemas de información
3.1 Seguridad y función de los controles. El conocimiento de las principales
amenazas potenciales para los sistemas de información resulta importante, pero
entender las maneras de defenderse contra estas amenazas es igualmente decisivo.
Esta protección a estos sistemas no es una tarea simple o económica por las siguientes
razones:
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 17
• Existen cientos de amenazas potenciales y muchos individuos controlan los activos
de información.
• Los recursos de cómputo y las redes de computadora tal vez se ubiquen en muchos
lugares, pueden estar fuera de la organización y es difícil protegerlas.
• Muchos delitos por computadora no se detectan durante un largo periodo, por lo que
es difícil aprender de la experiencia.
• Los rápidos cambios tecnológicos hacen que algunos controles se vuelvan
obsoletos tan pronto como se ponen en práctica.
• El delincuente computarizado que se captura no recibe castigo, por lo que hay un
efecto disuasivo.
• La cantidad de conocimiento de cómputo necesaria para cometer delitos
computarizados es mínima. En realidad, uno puede convertirse en un hacker gratis, en Internet.
• Los costos para prevenir (disminuir) delitos pueden resultar muy altos. En
consecuencia, muchas organizaciones simplemente no pueden afrontar la
protección contra los posibles daños.
• La gente tiende a violar los procedimientos de seguridad debido a que éstos son
molestos. (El éxito de los controles internos es la apropiación/actitud del personal
respecto de su cumplimiento y no la norma establecida).
3.2 Estrategias de defensa. ¿Cómo proteger? La protección de la tecnología de
información se logra insertando controles –mecanismos de defensa ideados para prevenir riesgos accidentales, disuadir actos intencionales, detectar problemas lo más pronto posible, mejorar la recuperación de daños, y corregir problemas. Los controles pueden integrarse dentro del hardware y software durante la fase del desarrollo del
sistema se encuentra en operación o durante su mantenimiento. El punto importante es
que la defensa debe subrayar la prevención; lo anterior no resulta adecuado después del delito. Así como existen muchas amenazas, así igualmente existen diversos
mecanismos de defensa. Los controles se diseñan para proteger todos los
componentes de un sistema de información, específicamente los datos, el software, el
hardware y las redes. Las siguientes son las estrategias de defensa más importantes:
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 18
a) Controles para la prevención y disuasión. Son diseñados de una forma apropiada
que evitan la presentación de errores, disuadir a los criminales de que ataquen el
sistema, y mejor aún, negar el acceso a las personas no autorizadas, además, el
prevenir y disuadir son especialmente importantes donde el daño potencial es muy alto.
b) Detección. Tal vez no sea económico factible evitar todos los peligros para que
todas las medidas funcionen, en consecuencia, los sistemas no protegidos son
vulnerables a los ataques. Al igual que un incendio, cuanto más pronto se detecta, tanto
más sencillo resultará combatirlo y tanto menor será el daño. La detección se efectúa
utilizando software de diagnóstico especial.
c) Limitación. Esto se refiere a minimizar las pérdidas una vez que ha ocurrido el mal
funcionamiento. Los usuarios típicamente desean que sus sistemas vuelvan a operar lo
más rápido posible. Lo anterior es posible lograrse incluyendo un sistema tolerante a
fallas que permita la operación en un modo degradado hasta conseguir la recuperación
completa. Si no se cuenta con un sistema tolerante de fallas, debe ponerse en práctica
una rápida (y posiblemente costosa) recuperación.
Controles para la prevención y disuasión
Detección
Limitación
Recuperación
Corrección
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 19
d) Recuperación. Un plan de recuperación aclara cómo reparar un sistema de
información dañado lo más rápido posible. Sustituir componentes en vez de repararlos
es un camino para la pronta recuperación.
e) Corrección. Los sistemas dañados corregidos evitarán la recurrencia del problema.
3.3 Clasificación de controles. Controles generales (sistemas) y Controles de
aplicaciones. (Turban, McClean y Wetherbe, 2006: 794798).
CONTROLES GENERALES. Se establecen para proteger el sistema sin que importe la
aplicación específica, establecidos en las siguientes categorías:
Controles físicos
La seguridad física se refiere a la protección de las instalaciones y los recursos de
cómputo, esto incluye la protección de la propiedad física de las computadoras, los
centros de datos, el software, los manuales y las redes. La seguridad física constituye
la primera línea de defensa y suele ser la más fácil de construir. Proporciona protección
contra la mayor parte de los peligros naturales, así como ante los peligros humanos. La
seguridad física apropiada comprende los siguientes controles:
1. Diseño apropiado del centro de datos. Por ejemplo, el lugar deber ser no
combustible e impermeable.
2. Blindaje contra campos electromagnéticos.
3. Sistemas para prevenir, detectar y extinguir incendios, lo que incluye sistemas de
rociado, bombas de agua e instalaciones de drenaje adecuadas.
4. Las baterías de emergencia para cortes de suministro eléctrico y de respaldo, las
cuales deben mantenerse en condición operativa.
5. Diseño de sistemas de acondicionamiento de aire (mantenimiento y operación).
6. Alarmas detectoras de movimiento que indiquen la intromisión física de extraños.
Controles de acceso
Éste se refiere a la restricción del acceso a usuarios no autorizados a una parte del
sistema de computadora o al sistema completo. Para obtener el acceso, el usuario
primero debe ser autorizado.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 20
Después, cuando el usuario intenta tener acceso, debe acreditarse. El acceso a un sistema de computadora consta básicamente de tres pasos: (1) acceso físico a una
terminal, (2) acceso al sistema y (3) acceso a comandos, transacciones, privilegios,
programas y datos específicos dentro del sistema. Existe software de control de acceso
comercial para las grandes mainframes, minicomputadoras, computadoras personales,
redes de área local y redes de comunicaciones de marcación telefónica.
Los procedimientos de acceso hacen corresponder a cada usuario válido con un
identificador de usuario único (IUU). Proporcionan también un método de acreditación
para verificar que los usuarios que solicitan acceso al sistema computarizado sean en
realidad quienes afirman ser. El reconocimiento del usuario puede lograrse cuando lo
siguiente identifica a cada usuario:
• Algo que sólo conoce el usuario, por ejemplo, una contraseña.
• Algo que sólo tiene el usuario, digamos, una tarjeta inteligente o una señal.
• Algo que sólo es del usuario, como una firma, la voz, la huella digital o la exploración
óptica retinal (ojo). Esto se implementa por medio de controles biométricos.
Control biométrico
Se define como un “método automatizado” para verificar la identidad de una persona
con base en sus características fisiológicas o conductuales”. Los elementos biométricos
más comunes son los siguientes:
Fotografía.
Huellas digitales.
Geometría de la mano.
Patrón de vasos sanguíneos en la retina del ojo de una persona.
Firma auténtica prealmacenada.
Dinámica del tecleo.
Otros métodos más, por ejemplo, como la termografía facial y la exploración óptica del iris.
En los últimos años, algunas empresas han incorporado controles de acceso físicos a
los que se llama biometría. Un patrón biométrico considera una característica única y
mensurable de rasgos de un ser humano para identificarlo. Se utilizan huellas digitales,
imágenes de la retina o el tono de voz como patrones biométricos. (Oz, 2001: 631).
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 21
Tratándose de una huella dactilar, el usuario coloca un dedo sobre un escáner o ante
una cámara digital. Se busca en una base de datos de huellas dactilares digitalizadas
de personas con acceso autorizado. El procedimiento es similar cuando se digitaliza la
imagen de la retina de una persona. En el caso de la voz, se pide al usuario que
pronuncie una palabra, o varias. La entonación y el acento se digitalizan y comparan
con una lista de muestras de voz digitalizadas.
Controles de seguridad de los datos
Esta parte tiene que ver con la protección de los datos contra la revelación accidental o
intencional por parte de personas no autorizadas o contra la modificación o destrucción
no autorizadas. Las funciones de seguridad se implementan mediante sistemas
operativos, programas de control de acceso de seguridad, productos de
comunicaciones de bases de datos/datos, procedimientos recomendados de
respaldo/recuperación, programas de aplicación y procedimientos de control externo.
Los controles de seguridad de datos se orientan hacia los siguientes aspectos:
confidencialidad de información, control de acceso, naturaleza crítica e integridad de los
datos (es la condición que existe siempre que no ocurre una destrucción accidental o
intencional, la alteración o la pérdida de datos. Se preservan los datos para su uso
establecido). Dos principios básicos se reflejan en la integridad de los datos: a) privilegios mínimos de disposición al usuario de la información que necesita contar en una tarea asignada, y b) exposición mínima respecto al usuario cuando tiene acceso a información sensible, entonces es su responsabilidad de protegerla asegurando que
únicamente las personas cuyas tareas la requieren obtengan conocimiento de esta
información mientras se procesa, almacena o encuentra en tránsito. No es económico
preparar protecciones contra toda amenaza posible. Por consiguiente, un programa de
seguridad de la tecnología de la información debe proporcionar un proceso para valorar
las amenazas y decidir ante cuáles prepararse y cuáles ignorar, reducir o eliminar. La
instalación de medidas de control se basa en un balance entre el costo de los controles
y la necesidad de reducir o eliminar las amenazas. Un análisis de este tipo corresponde
básicamente a un método de administración de riesgos, el cual ayuda a identificar las
amenazas y a elegir las medidas de seguridad de costo adecuado. El siguiente
esquema muestra el proceso de administración de riesgos:
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 22
Fuente: Elaborado por Turban, McClean y Wetherbe, 2006: 809.
Controles administrativos
Algunos ejemplos representativos de estos controles incluyen los siguientes:
• Elección, capacitación y supervisión apropiadas de los empleados en especial en
sistemas de contabilidad y de información. Fomentar de lealtad de la compañía.
Paso 1. Valoración de activos Determinar el valor y la importancia de activos tales como los datos, el
hardware, el software y las redes.
Paso 2. Vulnerabilidad de los activos Registrar las debilidades en el sistema de protección actual con respecto a
todas las amenazas potenciales
Paso 3. Análisis de pérdidas Evaluar la probabilidad de daño y especificar las pérdidas tangibles e
intangibles que pueden originarse
Paso 4. Análisis de protección Proporcionar una descripción de los controles disponibles que deben
considerarse, su probabilidad de defensa exitosa y sus costos
Paso 5. Análisis de costobeneficio Comparar los costos y los beneficios. Considerar la probabilidad de que ocurran daños y la protección exitosa de estos daños. Por último, decidir
cuáles controles instalar.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 23
• Revocar de inmediato los privilegios de acceso de empleados destituidos, sumisos o
transferidos, requerir la modificación periódica de los controles de acceso (como las
contraseñas).
• Crear estándares de programación y documentación (para facilitar la auditoría y
utilizar los estándares como guías para los empleados).
• Insistir en las cadenas de seguridad y en los seguros contra uso inadecuado con los
empleados de mayor responsabilidad.
• Instituir la separación de tareas, esto es, dividir las labores de cómputo sensibles
entre tantos empleados como sea factible económicamente, con el propósito de
disminuir las posibilidades de daño intencional.
• Mantener auditorías aleatorias y periódicas del sistema.
Controles de comunicaciones (red)
Las medidas de control son restricciones impuestas a un usuario y que protegen los
sistemas de los riesgos señalados anteriormente, así como paliar el daño causado a
sistemas, aplicaciones y datos. Las medidas de control comunes para evitar el riesgo a
los sistemas se encuentran: a) programas robustos y control de entrada de datos, b)
copia de seguridad, c) controles de acceso, d) transacciones atómicas (con control de
entrada de datos), e) revisión de auditoría.
El programa de computadora es robusto (fuerte) si hace lo que debe hacer con eficacia,
pero también si puede soportar un uso inapropiado, como la entrada o el procesamiento
de datos incorrectos. Un programa menos robusto sólo permite que el usuario
introduzca los parámetros necesarios sin interactuar con el sistema. Un programa
robusto (fuerte) incluye códigos que producen de manera inmediata un mensaje claro si
un usuario comete un error o trata de eludir un proceso. (Oz, 2001: 629).
La protección de las redes se está volviendo sumamente importante a medida que
aumenta el uso de Internet, las Intranets y el comercio electrónico. Las más comunes
medidas de seguridad corresponden al control del acceso que incluyen acreditación y contraseñas, encriptado, probadores de cable y firewalls y otros controles generales. Control de acceso. Esta estrategia de protección del acceso requiere a los usuarios un NIP y además que la contraseña sea única y que cambie con frecuencia.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 24
Encriptado. Consiste en codificar un texto digitalizado ordinario en otro texto o en números desordenados e ilegibles que deben codificarse al recibirlos. Probadores de cable. Sirven para la solución de problemas de redes del área local integrada con un analizador inteligente. Permite inspeccionar los contenidos de datos. Firewalls. Es un sistema, o grupo de sistemas, que refuerzan una política de control de acceso entre dos redes. Se usa como una barrera entre la Intranet, Internet y redes. Otros generales. Entre los más importantes están los controles de programación, malos entendidos o interpretaciones y controles de desarrollo del sistema. CONTROLES DE APLICACIONES. Los controles generales se orientan a la protección
de las instalaciones de cómputo y a proporcionar seguridad al hardware, el software, lo
datos y las redes, no obstante estos controles no protegen el contenido de cada aplicación específica. Por tanto, se incorporan controles dentro de las aplicaciones, en
el software y suelen considerarse como reglas de validación:
Controles de entrada. Tienen la finalidad de evitar la alteración o la pérdida de datos.
Son importantes porque evitan la situación “entra basura, sale basura”, por ejemplo,
controles de integridad, de formato, de intervalo y de consistencia. Controles de procesamiento. Aseguran que los datos sean completos, válidos y
exactos al procesarlos, y que los programas se ejecuten apropiadamente. Sólo los
usuarios autorizados tienen acceso a los programas o instalaciones y vigilan el uso
adecuado de las computadoras por los individuos.
Controles de salida. Aseguran que los resultados del procesamiento de cómputo sean
exactos, válidos, completos y consistentes. El control asegura que las salidas sólo se
envíen al personal autorizado.
4. Auditoria de sistemas de información
El establecer controles pretende un correcto funcionamiento de los sistemas, los
controles se instalan en el sistema original; el departamento de sistemas, los usuarios
finales u otros (por ejemplo, vendedores) y se agregan una vez que el sistema se
encuentre en operación. Instalar controles es necesario, pero no es suficiente. Se
requiere responder a las siguientes preguntas: ¿Se presenta alguna violación de la
seguridad? Si es así, ¿qué acciones se requieren para evitar su ocurrencia? Estas
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 25
preguntas necesitan responderlas los observadores independientes e imparciales, los
cuales efectúan la tarea de auditar el sistema de información. Una auditoría constituye una parte importante de cualquier sistema de control. En el
escenario organizacional suele conocérsele como un examen y revisión regulares de los registros y de los procedimientos financieros y contables. Efectúan la auditoría
profesionales especialmente capacitados, sean empleados internos o consultores
externos. En el entorno de los sistemas de información, la auditoría se considera como
una capa adicional de controles o salvaguardas.
La informática está inmersa en la gestión integral de la organización. A finales del siglo
XX, los sistemas de TI (tecnologías de la información) se constituyeron como las
herramientas más poderosas para cualquier organización, puesto que apoyan la toma
de decisiones, generando un alto grado de dependencia, así como una elevada
inversión en ellas. Debido a la importancia que tienen en el funcionamiento de una
organización, existe la auditoría informática. (Fernández, 2005:1) La auditoría informática. Es un proceso evolutivo “que mediante técnicas y procedimientos aplicados en una organización por personal independiente a la
operación de la misma, evalúa la función de tecnología de información y su aportación
al cumplimiento de los objetivos institucionales; emite una opinión al respecto y efectúa
recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos”
Tipos de auditores y auditorías. Un auditor interno casi siempre lo constituye un empleado corporativo y no es miembro del departamento de sistemas de información.
Un auditor externo es ajeno a la corporación. Este tipo de auditor revisa los resultados de la auditoría interna y las entradas, el procesamiento y las salidas de datos.
La auditoría externa de sistemas de información o de procesamiento de datos electrónicos constituye con frecuencia una parte de la auditoría externa completa que
efectúa una firma contable pública certificada, un aspecto esencial de esta auditoría es
buscar los peligros y controles potenciales en los sistemas, centra la atención en temas
como nuevos sistemas, desarrollo, operaciones y mantenimiento, integridad de datos,
aplicación de software, seguridad y privacía, planeación y recuperación ante desastres,
adquisición, presupuestos y gastos, costos indirectos, administración de vendedores,
documentación, seguros y fianzas, capacitación, control de costos y productividad. La
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 26
SAS número 55 es una guía emitida por el American Institute of Certified Public
Accountans. Los auditores intentan responder preguntas como las siguientes:
• ¿Hay suficientes controles en los sistemas? ¿Qué controles son necesarios?
• ¿Cuáles áreas no están cubiertas por los controles?
• ¿Los controles se implantaron en forma adecuada?
• ¿Los controles son efectivos; estos es, verifican la salida del sistema?
• ¿Existe clara separación de tareas? ¿Existen procedimientos para garantizar el
cumplimiento de los controles, acciones de información y corrección?
Se utilizan dos tipos de auditorías para responder a estas preguntas. La auditoría operacional para verificar el funcionamiento de los sistemas y la auditoría de acatamiento para determinar si los controles se han implantado en forma apropiada y
son adecuados.
¿Cómo se ejecuta la auditoría? Los procedimientos de auditoría de la tecnología de la
información se clasifican en tres categorías:
1. La auditoría alrededor de la computadora corresponde verificar el procesamiento
revisando las salidas conocidas utilizando entradas específicas.
2. En la auditoría a través de la computadora se verifican las entradas, las salidas y el
procesamiento. Este método resulta complejo apoyándose en herramientas especiales.
Algunos métodos del auditor son la revisión lógica del programa y los datos de prueba.
3. La auditoría con la computadora se refiere a emplear una combinación de datos de
los clientes, software del auditor y hardware del cliente y el auditor. Permite que el
auditor efectúe pruebas tareas como la simulación de la lógica del programa de
nóminas utilizando datos reales. 2
________________________ 2 En los despachos de auditores de México, estas herramientas están limitadas con frecuencia debido a la capacidad financiera del cliente. Existe limitación cuando el cliente pone obstáculos de acceso al personal que audita a los sistemas de información, por ejemplo, si el auditor solicita sólo una llave para consultar los sistemas de nóminas, contable o de producción de su cliente; el precio de algunas empresas consultoras de software oscila entre $50,000.00 a $90,000.00; ésta situación aumenta el costo de la auditoría para la entidad auditada, sin considerar –en muchos casos el alto costo pagado por la construcción del sistema. Estas herramientas de audtoría son avanzadas pero es necesario tomar en cuenta sus alcances, los objetivos de control administrativo, así como las ventajas que el auditor ofrece al examinar los sistemas de información. Por otra parte, las políticas de operación de la firma de auditores profesionales deberían incluir el realizar auditorias externas de cifras contablesfinancieras no con las técnicas tradicionales de auditoría, también abarcando la auditoria a la tecnología de información, obteniendo con ello mayor eficiencia en su trabajo.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 27
Las herramientas típicas son las listas de verificación, fórmulas y diagramas. Éstas
pueden ejecutarse en forma manual o de modo computarizado mediante la disposición
de programas de cómputo, tales como programas de pruebas, síntesis, muestreo y
correspondencia. El Generalizad Audit Software (GAS) es un conjunto de programas
diseñado para apoyar la auditoría. También es posible recurrir a sistemas expertos y a
cómputo neuronal para facilitar la auditoría de la tecnología de información. Los
auditores deberían emplear varias herramientas para incrementar su eficacia y
eficiencia.
5. Control y seguridad en el siglo XXI
En el tercer milenio, el control y la seguridad de las computadoras recibirá mayor
atención. Se observan varias tendencias importantes entre las cuales se incluyen: Aumentar la confiabilidad de los sistemas. El objetivo en este caso es recurrir a la
tolerancia a fallas para mantener trabajando los sistemas de información, incluso si
fallan algunas partes. Sistemas inteligentes para la detección temprana. Detectar la intrusión en sus inicios es de suma importancia, en especial para la información
confidencial y los datos financieros. Los sistemas expertos y las redes neuronales se
utilizan a tal propósito. Sistemas inteligentes en la auditoría. Útil para mejorar la tarea de auditoría en los sistemas de información. Por ejemplo, los sistemas expertos evalúan
controles y analizan sistemas computarizados básicos, tanto que las redes neuronales
pueden emplearse para detectar fraudes. Inteligencia artificial en biomérica. Los sistemas expertos, el cómputo neuronal, el reconocimiento de voz y la lógica difusa se
emplean para mejorar las funciones de los sistemas biométricos. Sistemas expertos para diagnósticos, pronósticos y planeación ante desastres. El programa se utiliza para evaluar el entorno corporativo con respecto a la seguridad, los procedimientos, fuente
del problema así como los factores de riesgo. Tarjetas inteligentes. La tecnología de tarjeta inteligente se usa para proteger las computadoras personales en redes de área
local. Por medio de huellas digitales, la tarjeta inteligente del usuario se acredita por
medio de un sistema que usar firmas calculadas con una llave secreta y el algoritmo de
encriptado. Las tarjetas inteligentes, que contienen microchips incorporados, generan
contraseñas únicas (utilizadas sólo una vez) que confirman la identidad de una persona.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 28
Reflexiones finales
a. Internet, sistemas de información, computadoras portátiles y de automóvil, de
escritorio, agendas electrónicas, teléfonos celulares y las tecnologías inalámbricas han
hecho que el acceso a datos e información sea más fácil. Por ejemplo, en México más
del 14% de los equipos de cómputo que usan Internet están infectados por programas
malignos bot, según la empresa en consultoría Lucent Technologies; la empresa 3Com se refiere a los usuarios con conexiones a Internet de banda ancha, así como las redes
corporativas, como los blancos de ataques a los servidores de computadoras.
b. Los datos, el software, el hardware y las redes están amenazados por las fuerzas de
la naturaleza o intencionalmente. A los criminales computarizados los impulsan factores
económicos, ideológicos, egocéntricos o psicológicos. Un delito grave en nuestro país es la clonación de tarjetas de crédito y de débito y otros instrumentos electrónicos de
pago; los fraudes a septiembre de 2006 por esta modalidad representaron entre 2,500 y
3,000 millones de pesos para las tiendas departamentales y de autoservicio.
c. El objetivo de los hackers ahora es vaciar las cuentas bancarias o y robar la
identidad de los usuarios de la Red, ejecutando el delito en portales electrónicos
ilegales. El Ministerio Público del Poder Judicial recibe denuncias de usuarios quienes
cometieron errores como accesar a páginas falsas de los bancos, donde son
descubiertos los números secretos confidenciales y números de cuentas bancarias. El
Buró de Crédito de México ha notado el descontrol de la información para expedir
plásticos por parte de las casas comerciales y de los bancos: el robo de identidad es un
fraude financiero nuevo destinado a cometer fraudes a nombre de terceros.
d. Otro ejemplo, el uso de la telefonía celular, para Patricia Ramírez, vocera de Telcel,
los datos podrían volverse realidad fácilmente. “La tendencia es a la alza. En México los
celulares se van incrementando año con año, y debido a la necesidad de movilidad y de
recibir mails en los teléfonos, empresas hacen convenios con buscadores de Internet
para cargar los aparatos con el servicio de correo electrónico”. El estudio alerta que
esto traerá mayores amenazas para la información de los usuarios de tecnología, pues
desde hace un par de años los ataques dirigidos hacia los móviles son más notables.
e. En diciembre de 2005 la llegada de un huracán a las playas de Cancún, Quintana
Roo, destruyó las edificaciones de hoteles así como los equipos de cómputo por la
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 29
fuerza del agua y del viento, los administradores mantenían nulas medidas de
protección a los sistemas de información y de comunicación.
f. La seguridad en cómputo tiene aspectos múltiples de análisis desde el uso de
computadoras, las comunicaciones y las redes del sistema; vigilando los riesgos físicos
en el hardware y los riesgos de seguridad en el software.
g. Conocer el valor de la información necesaria para hacer una inversión correcta, por
ejemplo, a los empresarios del sector de gasolina, la Secretaría de Hacienda y Crédito
Público (SHCP) conoce la incapacidad económica y técnica que dificulta cumplir con la
disposición oficial de sustituir las máquinas despachadoras actuales por nuevas
máquinas electrónicas. En septiembre de 2004, la SHCP estableció como obligatoria la
instalación –antes del 1 de diciembre de ese año de sistemas de control de volumen en
centros de abasto de gasolina, diesel, gas natural y gas licuado de petróleo (LP) para
motores de combustión automotriz, a fin de contrarrestar el mercado ilícito de
combustibles. Sin embargo, concedió una prórroga debido a que el costo de cada
equipo oscila entre 10,000 y 12,000 dólares y no todos los expendedores cuentan con
recursos suficientes para realizar la inversión, además, la SHCP no estudió la
factibilidad de la norma técnica número 005 ni consideró que los proveedores no
ofrecían al 100% eficiencia en los sistemas. Los dispensarios de gasolina siguen igual. h. El instruir al personal que desinfecte los archivos antes de cargarlos o después de
recuperarlos; realizar respaldos frecuentes, ampliar respaldo para restaurar los datos,
en seguimiento de auditoría, ejecutar a diario la revisión de virus, y proteger todos los
programas y documentos recuperados de la red antes de usarlos; como medidas
preventivas. Las organizaciones procurarán tener antivirus original instalado y
actualizado, programas antispyware, antispam y firewall, que el software sea legal para poder actualizarlo desde Internet, evitar descargas de juegos, música o programas
“gratuitos” lo cual ofrece menos riesgos de ser atacado por algún bot. i. La seguridad de la información no es una materia específicamente tecnológica, es de
personas y, por tanto, es un problema organizacional de amplio espectro. Cualquier
esfuerzo encaminado a obtener una administración de la seguridad de la información
comienza con el fuerte compromiso de la dirección.
Vulnerabilidad de los Sistemas, Delitos por Computadora y Medidas de Seguridad en la Información 30
Bibliografía de consulta
Estupiñan Gaitán Rodrigo, Control Interno y Fraudes, con base en los ciclos transaccionales, Ecoe Ediciones, 1a edición, Bogotá, Colombia, marzo 2002.
Laudon Kenneth C. Laudon, Laudon Jane P., Management Information Systems, New Approches to Organization and Technology, Prentice Hall Hispanoamericana, S.A., 5a edición en ingles, 1998.
Lopez Betancourt Eduardo y Luis O. Porte Petit Moreno, El Delito de Fraude (Reflexiones), Sexta edición, Editorial Porrúa, México, 2005.
Oz Effy, Administración de Sistemas de Información, Thomson Editores, S.A. de C.V., (Thomson Learning), México, 2ª edición, 2001.
Shim Jae, Respuestas Rápidas para Sistemas de Información, Prentice Hall Hispanoamericana, S.A., México, 1a edición, 1999.
Turban Efraim, Mclean Ephraim y Wetherbe James, Tecnologías de Información para la Administración, Compañía Editorial Continental (CECSA), 2ª edición en inglés, 1ª edición en español y 1ª reimpresión en México, 2006.
Thompson L. Ronald y Cats Baril William, Information Technology and Management, Ed. Mc GrawHill Interamericana, S.A., U.S.A., agosto de 2002.
Hemerografía
Revista: Contaduría Pública, I.M.C.P., A.C., julio de 2005, año 34, No. 395, México, páginas 67, 1420, 3334 y 4250. Revista: Veritas, C.C.P.M., A.C., octubre de 2002, año XLVII, No. 1574, México, páginas 3039.
Páginas electrónicas www.enterate.unam.mx, fecha de consulta: 20 de diciembre de 2006, artículos: Importancia de la auditoría informática en las organizaciones, Nubia Fernández Grajales, (octubre de 2005). Administración de la seguridad en ITIL, Betzabé Falfán Jiménez, (abril de 2006). Cómputo forense, tras las huellas del infractor, Gustavo A. Gutiérrez Ramírez, (octubre de 2004). Las nuevas tendencias en seguridad informática, Imelda A. Gutiérrez de la Torre, (junio de 2004). Delitos cibernéticos, Gustavo A. Gutiérrez Ramírez, (octubre 2003).
www.amiti.org.mx, fecha de consulta 12 de diciembre de 2006, Asociación Mexicana de la Industria de Tecnologías de Información, A.C.
www.acfe.org., fecha de consulta 5 de octubre de 2004.
Top Related