Sistemas de Información Gerencial

Página 1

EL FRAUDE EN SISTEMAS COMPUTARIZADOS Modernamente el auditor no fundamenta la eficiencia de su trabajo en el descubrimiento de los fraudes que pueden estarse dando en la empresa auditada. Es suficiente que el trabajo sea desarrollado con base en las normas de auditoría aceptadas por la comunidad de auditores a nivel internacional, para que goce de confiabilidad por parte de quienes hacen uso de la información auditada. Sin embargo, normalmente, una auditoría adelantada con rigor, tiende a descubrir la mayoría de los fraudes en los entes auditados. La auditoría, en su versión moderna, es asesora de la alta dirección para efectos de implementar oportuna y adecuadamente el sistema de Control Interno, e imprimir de esta manera, confiabilidad en la información financiera o de otro tipo, con relación a la exactitud, eficiencia, efectividad y economicidad de las operaciones empresariales. A continuación se describen algunos de los fraudes que normalmente se presentan en los sistemas computarizados. 1. MANIPULACIÓN DE TRANSACCIONES La manipulación de transacciones ha sido el método más utilizado para la comisión de fraudes, en ambientes computarizados. El mecanismo para concretar el fraude informático consiste en cambios los datos antes o durante la entrada al computador. Puede ser ejecutado por cualquier persona que tenga acceso a crear, registrar, transportar, codificar, examinar, comprobar o convertir los datos que entran al computador. 2. TÉCNICA DE SALAMI Consiste en sustraer pequeñas cantidades (tajadas) de un gran número de registros, mediante la activación de rutinas incluidas en los programa aplicativos corrientes. La empresa es la dueña del salami (archivo de datos) de donde el desfalcador toma pequeñas sumas (centavos) para llevarlos a cuentas especiales, conocidas solamente por el perpetrador del fraude. Aquí, normalmente, se dificulta descubrir el fraude y quién lo comete. Esta técnica es muy común en los programas que calculan intereses, porque es allí donde se facilita la sustracción de resid uos que generalmente nadie detecta, configurándose cómodamente el fraude. 3. TÉCNICA DEL CABALLO DE TROYA Consiste en insertar instrucciones, con objetivos de fraude, en los programas aplicativos, de manera que, además de las funciones propias del programa, también ejecute funciones no autorizadas. Las instrucciones fraudulentas se esconden dentro de las demás, obteniendo acceso libre a los archivos de datos normalmente usados

Ivan Javier Monterrosa Castro

22/03/04

Sistemas de Información Gerencial

Página 2

por el programa. Esta técnica de fraude es muy común debido a la facilidad que se presenta para ocultar las instrucciones fraudulentas dentro de cientos de instrucciones que generalmente componen los programas aplicativos. Sin embargo, no siempre la técnica del caballo de troya se configura en programas de aplicación, también se acostumbra en sistemas operativos y programas utilitarios. Para efectos de incluir la instrucción en un programa legítimo, el programador aprovecha la autorización para hacer cambios corrientes a los programas y en ese momento incluye las instrucciones fraudulentas, evidentemente no autorizadas. A esto se debe que la técnica haya adoptado el nombre de Caballo de Troya. 4. LAS BOMBAS LÓGICAS Esta técnica consiste en diseñar e instalar instrucciones fraudulentas en el software autorizado, para ser activadas cuando se cumpla una condición o estado específico. Esta técnica de fraude es difícil de descubrir porque mientras no sea satisfecha la condición o estado específico, el programa funciona normalmente, procesando los datos autorizados sin arrojar sospecha de ninguna clase. Cuando la condición de fraude se cumple, automáticamente se ejecuta la rutina no autorizada, produciéndose de esta manera el fraude. Entra las condiciones más frecuentes para la práctica de este tipo de fraude están: abonar un crédito no autorizado a una cuenta cuando el reloj del computador alcance determinado día y hora. Hacer un traslado de fondos cuando el computador encuentre una determinada condición, por ejemplo, una fecha. Esta técnica de fraude se diferencia de la del caballo de troya, básicamente, en que la instrucción o instrucciones fraudulentas se incluyen en el programa cuando se está generando originalmente el sistema. En cambio, en el caballo de troya, se incluyen las instrucciones fraudulentas cuando es autorizada una modificación al programa. 5. JUEGO DE LA PIZZA El juego de la pizza es un método relativamente fácil para lograr el acceso no autorizado a los centros de procesamiento de datos, así estén adecuadamente controlados. Consiste en que un individuo se hace pasar por el que entrega la pizza (o cualquier pedido) y en esa forma se garantiza la entrada a las instalaciones del área de procesamiento durante y después de las horas de trabajo.

Ivan Javier Monterrosa Castro

22/03/04

Sistemas de Información Gerencial

Página 3

6. INGENIERÍA SOCIAL Esta técnica consiste en planear la forma de abordar a quienes pueden proporcionar información valiosa o facilitar de alguna manera la comisión de hechos ilícitos. Se recurre luego a argumentos conmovedores y/o a sobornar a las personas para alcanzar los objetivos deseados. Esta técnica combina las características del petulante y del jactancioso para conseguir el hecho fraudulento. Además, normalmente, usan un estilo de actuación importante, vestido elegante, amenazas sutiles y porciones aisladas de información clave de la organización para influir en la otra persona. 7. TRAMPAS PUERTA Las trampas – puerta son deficiencias del sistema operacional, desde las etapas de diseño original (agujeros del sistema operacional). Los expertos programadores del sistema pueden aprovechar las debilidades del sistema operacional para insertar instrucciones no autorizadas, en dicho sistema, con el objeto de configurar fraudes informáticos. Las salidas del sistema operacional permiten el control a programas escritos por el usuario, lo cual facilita la operacionalización de fraudes, en numerosas opciones. 8. SUPERZAPING El superzaping deriva su nombre de SUPERZAP, un programa utilitario de IBM de un alto riesgo por sus capacidades. Permite adicionar, modificar y/o eliminar registros de datos, datos de registros o agregar caracteres dentro de un archivo maestro, sin dejar rastro y sin modificar ni corregir los programas normalmente usados para mantener el archivo. Este programa permite consultar los datos para efectos de conocimiento o para alterarlos, omitiendo todos los controles y seguridades en actividad establecidos. Hay otro programa similar al SUPERZAP, en el sistema 34 de IBM, denominado DBU. Todos los sistemas de computación tienen programas de

Ivan Javier Monterrosa Castro

22/03/04

Sistemas de Información Gerencial

Página 4

alto riesgo como el SUPERZAP, los cuales funcionan como especies de llaves maestras o programas de acceso universal.

9. EVASIVA ASTUTA Esta técnica consiste en un método inventado como consecuencia de la aparición de los compiladores. Los programadores de sistema inventaron la forma de comunicarse con la computadora a través de lenguaje de máquina. Esta técnica también se conoce con el nombre de parches. Es un método limpio para entrar en la computadora, cambiar las cosas, hacer que algo suceda y hasta cambiarlas para vuelvan a su forma original sin dejar rastros para auditoría. En la medida en que se fue sofisticando la tecnología de esta metodología de fraude, se le llamó “DEBE” (Does Everything But Eat; Una rutina que hace todas las cosas excepto comer). 10. RECOLECCIÓN DE BASURA La recolección de basura es una técnica para obtener información abandonada o alrededor del sistema de computación, después de la ejecución de un trabajo. Consiste en buscar copias de listados producidos por el computador y/o papel carbón y de allí extraer información en términos de programas, datos, contraseñas y reportes especiales. 11. IR A CUESTAS PARA TENER ACCESO AUTORIZADO Se trata de una técnica de fraude informático para lograr el acceso no autorizado a los recursos del sistema, entrando a cuestas de alguien influyente (piggyback) o por suplantación. El piggyback físico consiste en seguir a un funcionario autorizado dentro de un área de acceso controlada, protegida por puertas cerradas electrónicamente. El piggyback electrónico consiste en usar una terminal está ya activada o usar una termina secreta conectada a una línea activada para acceder la información del sistema, comprometiendo el régimen de seguridad. La imitación, sea física o electrónica, implica la obtención de contraseñas, códigos secretos y la suplantación de personas autorizadas para entrar en el área de computación. 12. PUERTAS LEVADIZAS Esta técnica consiste en la utilización de datos, sin la debida autorización, mediante rutinas involucradas en los programas o en los dispositivos de hardware.

Ivan Javier Monterrosa Castro

22/03/04

Sistemas de Información Gerencial

Página 5

Métodos sofisticados de escape de datos pueden ser ejercidos en ambientes de alta seguridad y alto riesgo. Por ejemplo, información robada es decodificada de modo que el personal del centro de procesamiento electrónico, no pueda descubrir que está pasando. Dicha información puede ser reportada por medio de radios transmisores en miniatura (BUGS), colocados secretamente en la CPU de muchos computadores, como sucedió en la guerra de Vietnam. Estos BUGS fueron capaces de transmitir el contenido de las computadoras a receptores remotos, concretándose de esta manera el escape de datos a través del concepto de puertas levadizas. El personal del área de procesamiento puede construir puertas levadizas en los programas o en los dispositivos de hardware para facilitar la salida de datos y la entrada de los mismos sin ser detectados. 13. TÉCNICA DEL TALADRO Esta técnica consiste en utilizar una computadora para llamar o buscar la manera de entrar al sistema con diferentes códigos hasta cuando uno de ellos resulte aceptado y permita el acceso a los archivos deseados. Mediante el sistema de ensayo permanente se descubren las contraseñas del sistema para entrar a los archivos y extraer información en forma fraudulenta. 14. INTERCEPCIÓN DE LÍNEAS DE COMUN ICACIÓN Esta técnica de fraude informático consiste en establecer una conexión secreta telefónica o telegráfica para interceptar mensajes. Normalmente, las conexiones activas o pasivas se instalan en los circuitos de comunicación de dato, entre: 1. Terminales y concentradores 2. Terminales y computadores 3. Computadores y computadores De otra parte, la intercepción de comunicaciones por micro-ondas y vía satélite es también posible técnicamente.

Ivan Javier Monterrosa Castro

22/03/04

Hackers utilizan técnicas de ingeniería social INFORME DE ETEK

Los hackers y asaltantes de redes están utilizando con mayor frecuencia técnicas de ingeniería social para engañar a usuarios de computadores e Internet y obtener las contraseñas y cualquier otro tipo de información confidencial personal o empresarial. La ingeniería social es la técnica más eficaz para hacerse con secretos celosamente protegidos, ya que no requiere una sólida formación técnica ni de grandes conocimientos sobre protocolos y sistemas operativos. En el entorno de Internet y de las tecnologías de información, el término “Ingeniería Social” hace referencia al conjunto de técnicas de haccking destinadas a penetrar redes de computación para obtener secretos e información clasificada, utilizando artificios para engañar al usuario y forzarlo a que revele sus contraseñas y otra información que pueda comprometer la seguridad del sistema bajo ataque.

La ingeniería social se basa en maniobras y artificios utilizados para obtener información sensible de otros usuarios mediante engaños y tretas. Cuando un hacker o atacante de redes no puede obtener acceso a un sistema utilizando sus técnicas habituales, entonces se comunica directamente con la víc tima, entabla un diálogo y la convence de que le entregue la información sin que se de cuenta de lo que realmente sucede. La Ingeniería Social se emplea tanto para obtener números de tarjetas de crédito, passwords para a Internet, tarjetas de llamadas, así como contraseñas para cajeros automáticos. También es común en estafas con hoteles de tiempo compartido o con la compra de teléfonos celulares por suscripción. Esta técnica requiere que los piratas y asaltantes de redes se comuniquen con los usuarios y obtengan los datos para después analizarlos y utilizarlos con un fin diferente al que originalmente se informó

cuando se información.

solicitó

la las redes de información. No existe ningún sistema de información que no No solo por teléfono dependa de algún dato La ingeniería social no ingresado por un operador sólo se limita a tele fonear y humano. obtener información. En métodos algunos casos también es Los considerada como famosos ingeniería social la Los más recientes virus publicidad que ‘Invita” a las de e-mail como el “I Love personas a escribir una You”, “Esposa Desnuda” o carta y enviarla a el “SirCam” son un claro determinada dirección o fax ejemplo de ingeniería con sus datos para un social. Hacerse pasar por sorteo; o tomar datos administrador de un sistema personales mediante una o por personal técnico de supuesta encuesta en la vía un proveedor de acceso a pública. Algunos ejemplos de Internet constituyen de ingeniería social inclu- estratagemas habituales yen: llamadas telefónicas para conseguir las conpara pedir números de serie traseñas de acceso a los de teléfonos celulares para sistemas. Para persuadir a clonarlos; hacerse pasar un individuo de entregar su por un funcionario del información confidencial banco para pedir la clave pueden utilizarse varios de las tarjetas débito o métodos de ingeniería crédito; llamadas social: telefónicas del proveedor La ejecución de un virus de Internet informando troyano por el usuario que ciertas fallas en el e-mail recibe un e-mail con un del usuario y solicitando la archivo adjunto infectado. contraseña de acceso. Al receptor se le tienta a La ingeniería social se que abra el archivo concentra en el eslabón mediante frases llamativas más débil de las políticas de o familiares como “Aquí te seguridad. El factor envío este archivo para me humano es una parte des tu punto de vista”, ó, esencial en la seguridad de “¿Ya tie nes fotos de tu

esposa desnuda?”. La voz agradable de una persona al otro lado de la línea que dice pertenecer al departamento técnico del proveedor de acceso a Internet preguntando datos confidenciales para resolver un problema en el servicio. El llamado de un usuario que necesita que se le asignen nuevamente su contraseña de acceso a Internet porque no la recuerda.

Página 7 de 9

El reto: proteger la información ¿Su empresa protege la información tanto como sus otro s activos? El ataque del Blaster dejó casi 400.000 víctimas en ocho días. MSBlaster o Lovsan es el gusano que infectó alrededor del mundo a los computadores que usan plataformas Windows. Según el reporte de seguridad del 15 de agosto de Symantec, proveedor de tecnología de seguridad para internet, "si se combina el número de PC infectados por los tres gusanos más recientes, Slammer, Code Red y Nimda, no iguala la cantidad de máquinas vulnerables al Blaster". A pesar de que Microsoft el 16 de julio había reconocido una vulnerabilidad en los sistemas Windows y puso a disposición del público un parche para prevenir el ataque, este se produjo el 11 de agosto. En pocas horas infectó a computadores de grandes corporaciones, gobiernos, universidades y hogares.

"Es muy fácil cuidarse de problemas como el Blaster. Basta con estar pendiente en internet de las actualizaciones de software y antivirus". José Antonio Barraquer, Microsoft.

Aunque no es posible estimar el costo un computador fuera de funcionamiento en la empresa, ¿usted se ha preguntado cuál sería el costo para su negocio si al llegar a su oficina, sus bases de datos, el programa de inventarios, la contabilidad y los programas que manejan la línea de producción no funcionan? Depende del tamaño de su compañía, el costo puede variar desde la simple incomodidad y el retraso en algunas tareas, hasta cientos de millones en pérdidas. El estudio 2003 Global Security Survey, conducido por Ernst & Young (E&Y), revela que 69% de los ejecutivos encuestados en Colombia considera como muy importante la seguridad en la información para alcanzar los objetivos de la compañía. Según el estudio, Colombia presentó durante el último año un porc entaje mayor de fallas en los sistemas de información críticos de negocio en comparación con el promedio mundial. Las empresas deben determinar qué tan crítica sería una falla en sus sistemas de información y establecer su compromiso con este tema, para definir políticas corporativas de protección de la información. ¿Las empresas están preparadas? Según el estudio, el 52% de los encuestados reconoció haber sufrido interrupciones inesperadas en los sistemas críticos del negocio, debido a fallas de hardware, software, fallas en los sistemas de telecomunicaciones, virus y gusanos o errores operativos. Mientras en el mundo el 59% de los ejecutivos considera adecuada la habilidad de su organización para determinar si sus sistemas de información están bajo ataque, solo el 31% de los encuestados en Colombia considera que su compañía está en ese nivel. Los expertos consultados coinciden en señalar algunos problemas en las organizaciones; por ejemplo, falta de políticas corporativas con respecto al manejo de la información y falta de presupuestos para invertir en protección de sistemas, concentración de información crítica en manos de personal no supervisado e implementación de soluciones aisladas a problemas puntuales.

Página 8 de 9 ¿Qué hacer? En un mundo globalizado como el actual y con el uso masivo de la tecnología, la información y los sistemas informáticos son uno de los activos más valiosos de las compañías y, por tanto, deben ser tan protegidos como las personas, la infraestructura y las operaciones. Como explica el asesor en seguridad Luis Mariño Santos, "la seguridad de la información es fundamental para preservar la continuidad del negocio". Las empresas deben hacer algunas tareas para prevenir los daños a sus sistemas de información. La instalación de firewalls ya sean adicionales o los incluidos en algunos paquetes y plataformas. La actualización permanente de los antivirus, que se puede hacer por medio de los proveedores de estos productos y por internet. La actualización del software, que los fabricantes permanentemente están entregando como resultado de la evaluación de sus sistemas y que no solo proporcionan mejoras en la funcionalidad sino en la seguridad. Para las empresas es recomendable contar con gente capacitada en el tema. En palabras de Luis Carlos Sarmiento, gerente de cuenta corporativa de Symantec, "es importante que las empresas tengan un experto en el tema, que tenga conocimientos claros y esté constantemente actualizado". Aunque se tomen estas medidas preventivas para evitar daños, es importante que las organizaciones tengan previsto qué hacer en caso de problemas. Esto puede comenzar por hacer backups periódicos de información crítica, guardados en las instalaciones de la compañía o en las instalaciones de terceros, hasta tener centros alternos de operación, desde donde sus ejecutivos y personal puedan mantener la continuidad del negocio. Sin embargo, los últimos hechos han probado que no hay garantías, ni seguridad 100%. Cada empresa necesita cuantificar los daños de quedarse sin sistema s de información durante una hora, un día o más, y debe tener capacidad de reaccionar rápidamente ante un problema en sus sistemas.

Sistemas de Información Gerencial

Página 9

BIBLIOGRAFÍA SELECTA • PINILLA, José Dagoberto. Auditoria Informática. Un Enfoque Operacional. ECOE Ediciones. Santafé de Bogotá, 1997. • El Universal. 10 de Septiembre de 2001. http://eluniversal.com.co • LESSARD, Bill. Esclavos de la Red. Más allá de la Ciberlibertad todo siempre queda a merced del Libertinaje. Mc Graw-Hill. México, 2000. • Revista Dinero. Septiembre 5 de 2003. No. 189. Página 50. Publicaciones Dinero Ltda. Colombia. http://www.dinero.com

Ivan Javier Monterrosa Castro

22/03/04