4.

RIESGOS INFORMATICOS

Es importante en toda organización contar con una herramienta, que

garantice la correcta evaluación de los riesgos, a los cuales están sometidos
los procesos y actividades que participan en el área informática; y por medio
de procedimientos
rocedimientos de control se pueda evaluar el desempeño del entorno
informático. Viendo la necesidad en el entorno empresarial de este tipo de
herramientas y teniendo en cuenta que, una de las principales causas de los
problemas dentro del entorno informáti
informático,
co, es la inadecuada administración de
riesgos informáticos, esta información sirve de apoyo para una adecuada
gestión de la administración de riesgos, basándose en los siguientes
aspectos:

La evaluación de los riesgos inherentes a los procesos informáticos.

informát

La evaluación de las amenazas ó causas de los riesgos.

Los controles utilizados para minimizar las amenazas a riesgos.

La asignación de responsables a los procesos

procesos informáticos

La evaluación de los elementos del análisis de riesgos.1

1
http://www.monografias.com
 4.1 RIESGOS

QUE SON LOS RIESGOS INFORMATICOS?

Se entiende como riesgo informático un estado de cualquier sistema que nos

indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como
peligro o daño todo aquello que pueda afectar
afectar su funcionamiento directo o los
resultados que se obtienen del mismo. Para que un sistema se pueda definir
como seguro debe tener estas cuatro características:

 Integridad:: La información sólo puede ser modificada por quien está

autorizado.

 Confidencialidad:
ialidad: La información sólo debe ser legible para los
autorizados.

 Disponibilidad: Debe estar disponible cuando se necesita

 Irrefutabilidad: (No-Rechazo
(No Rechazo o No Repudio) Que no se pueda negar la
autoría. Dependiendo de las fuentes de amenaza, la seguridad
segurida puede
dividirse en seguridad lógica y seguridad física.
 4.2 TIPOS DE RIESGOS

RIESGOS RELACIONADOS CON LA INFORMATICA

En efecto, las principales áreas en que habitualmente ha incursionado la

seguridad en los centros de cómputos han sido:

 Seguridad física.
 Control de accesos.
 Protección de los datos.
 Seguridad en las redes.

Por tanto se ha estado descuidando otros aspectos intrínsecos de la

protección informática y que no dejan de ser importantes para la misma
organización, como por ejemplo

 Organización y división de responsabilidades

 Cuantificación de riesgos
 Políticas hacia el personal
 Medidas de higiene, salubridad y ergonomía
 Selección y contratación de seguros
 Aspectos legales y delitos
 Estándares de ingeniería, programación y operación
 Función de los auditores tanto internos como externos
 Seguridad de los sistemas operativos y de red
 Plan de contingencia

A los fines de llevar una revisión completa y exhaustiva de este tema, se

propone que los especialistas en seguridad informática apliquen un enfoque
amplio e integral, que abarque todos los aspectos posibles involucrados en la
temática a desarrollar, identificando aquellos concernientes a garantías y
resguardos, y, después de haber efectuado un análisis exhaustivo de los
mismos, presentarlos en detalle y agrupados convenientemente.
 TIPOS DE RIESGOS

RIESGOS DE INTEGRIDAD:

Este tipo abarca todos los riesgos asociados con la autorización, completitud y
exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas
en una organización. Estos riesgos aplican en cada aspecto de un sistema de
soporte de procesamiento de negocio y están presentes en múltiples lugares, y
en múltiples momentos en todas las partes de las aplicaciones; no obstante
estos riesgos se manifiestan en los siguientes componentes de un sistema:

Interface del usuario: Los riesgos en esta área generalmente se relacionan

con las restricciones, sobre las individualidades de una organización y su
autorización de ejecutar funciones negocio/sistema; teniendo en cuenta sus
necesidades de trabajo y una razonable segregación de obligaciones. Otros
riesgos en esta área se relacionan a controles que aseguren la validez y
completitud de la información introducida dentro de un sistema

Procesamiento: Los riesgos en esta área generalmente se relacionan con el

adecuado balance de los controles detectivos y preventivos que aseguran que
el procesamiento de la información ha sido completado. Esta área de riesgos
también abarca los riesgos asociados con la exactitud e integridad de los
reportes usados para resumir resultados y tomar decisiones de negocio.

Interface: Los riesgos en esta área generalmente se relacionan con controles

preventivos y detectivos que aseguran que la información ha sido procesada y
transmitida adecuadamente por las aplicaciones.

RIESGOS DE RELACION:

Los riesgos de relación se refieren al uso oportuno de la información creada

por una aplicación. Estos riesgos se relacionan directamente a la información
de toma de decisiones (Información y datos correctos de una
persona/proceso/sistema correcto en el tiempo preciso permiten tomar
decisiones correctas
 RIESGOS DE ACCESO:

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e

información. Estos riesgos abarcan: Los riesgos de segregación inapropiada
de trabajo, los riesgos asociados con la integridad de la información de
sistemas de bases de datos y los riesgos asociados a la confidencialidad de la
información. Los riesgos de acceso pueden ocurrir en los siguientes niveles de
la estructura de la seguridad de la información.

RIESGOS DE UTILIDAD:

Estos riesgos se enfocan en tres diferentes niveles de riesgo:

→ Los riesgos pueden ser enfrentados por el direccionamiento de sistemas

antes de que los problemas ocurran.
→ Técnicas de recuperación/restauración usadas para minimizar la ruptura de
los sistemas.
→ Backups y planes de contingencia controlan desastres en el procesamiento
de la información.

RIESGOS EN LA INFRAESTRUCTURA:

Estos riesgos se refieren a que en las organizaciones no existe una estructura

información tecnológica efectiva (hardware, software, redes, personas y
procesos) para soportar adecuadamente las necesidades futuras y presentes
de los negocios con un costo eficiente. Estos riesgos están asociados con los
procesos de la información tecnológica que definen, desarrollan, mantienen y
operan un entorno de procesamiento de información y las aplicaciones
asociadas (servicio al cliente, pago de cuentas, etc.).

RIESGOS DE SEGURIDAD GENERAL:

Los estándares IEC 950 proporcionan los requisitos de diseño para lograr una
seguridad general y que disminuyen el riesgo:

• Riesgos de choque de eléctrico: Niveles altos de voltaje.

• Riesgos de incendio: Inflamabilidad de materiales.
• Riesgos de niveles inadecuados de energía eléctrica.
• Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
• Riesgos mecánicos: Inestabilidad de las piezas eléctricas.2

2
www.basc-costarica.com
 4.3 FRAUDES

COMO SUCEDEN LOS FRAUDES?

Los sistemas de información computarizados son vulnerables a una

diversidad de amenazas y atentados por parte de:

• Personas tanto internas como externas de la organización.

• Desastres naturales.
• Por servicios, suministros y trabajos no confiables
confiables e imperfectos.
• Por la incompetencia y las deficiencias cotidianas.
• Por el abuso en el manejo de los sistemas informáticos.
• Por el desastre a causa de intromisión, robo, fraude, sabotaje o interrupción
de las actividades de cómputos.

Todos estos
os aspectos hacen que sea necesario replantear la seguridad con
que cuenta hasta ahora la organización, aunque también hay algunas
entidades que están haciendo un trabajo prominente en asegurar sus
sistemas informáticos
 DELITO O FRAUDE INFORMÁTICO.

Toda acción culpable realizada por un ser humano que cause un perjuicio a
personas sin que necesariamente se beneficie el autor o que por el contrario
produzca un beneficio ilícito a su autor aunque no perjudique en forma directa
o indirecta a la víctima.
Actitudes ilícitas en que se tiene a las computadoras como instrumento o fin.
Cualquier comportamiento criminal en que la computadora está involucrada
como material objeto como medio.

TIPOS DE DELITOS O FRAUDES INFORMATICOS

1. Sabotaje Informático
En lo referente a Sabotaje Informático podemos encontrar dos clasificaciones
las cuales son las siguientes:

a. Conductas dirigidas a causar daños físicos

Esto es cuando la persona que comete el delito causa daños físicos al

hardware del equipo objeto del delito. Aquí el daño físico se puede ocasionar
de muchas formas por la persona que tiene la intención de causar daño.
Esto puede ocurrir de varias formas, por ejemplo:
• Uso de instrumentos para golpear, romper o quebrar un equipo de
cómputo, ya sea el daño completo o parcial.
• Uso de líquidos como café, agua o cualquier líquido que se vierta sobre
el equipo y dañe las piezas y componentes electrónicos.
• Provocar apagones o cortos en la energía eléctrica con intención de
causar daños en el equipo.
• Utilizar bombas explosivas o agentes químicos que dañen el equipo de
cómputo.
• Arrancar, o quitar componentes importantes de algún dispositivo del
equipo, como CD-ROM, CD-RW, Disco de 3 ½, Discos Duros,
Impresoras, Bocinas, Monitores, MODEM, Tarjetas de audio y video,
etc.
Y cualquier otra forma que dañe la integridad del equipo de cómputo.

b. Conductas dirigidas a causar daños lógicos

Esto comprende los daños causados a la información y todos los medios

lógicos de los cuales se vale un Sistema de Cómputo para funcionar
adecuadamente.
Por ejemplo, dañar la información contenida en unidades de almacenamiento
permanente, ya sea alterando, cambiando o eliminando archivos; mover
configuraciones del equipo de manera que dañe la integridad del mismo;
atentar contra la integridad de los datos pertenecientes al dueño del equipo
de cómputo y todas aquellas formas de ocasionar daños en la parte lógica de
un sistema de cómputo.
 • Medios Utilizados para Realizar Daños Lógicos

Virus. Es una serie de claves programáticas que pueden adherirse a los

programas legítimos y propagarse a otros programas informáticos. Un
virus puede ingresar en un sistema por conducto de una pieza legítima
de soporte lógico que ha quedado infectada, así como utilizando el
método del Caballo de Troya.

Gusanos. Se fabrica de forma análoga al virus con miras a infiltrarlo en

programas legítimos de procesamiento de datos o para modificar o
destruir los datos, pero es diferente del virus porque no puede
regenerarse. En términos médicos podría decirse que un gusano es un
tumor benigno, mientras que el virus es un tumor maligno. Ahora bien,
las consecuencias del ataque de un gusano pueden ser tan graves
como las del ataque de un virus: por ejemplo, un programa gusano que
subsiguientemente se destruirá puede dar instrucciones a un sistema
informático de un banco para que transfiera continuamente dinero a una
cuenta ilícita.

Bomba Lógica o cronológica. Exige conocimientos especializados ya

que requiere la programación de la destrucción o modificación de datos
en un momento dado del futuro. Ahora bien, al revés de los virus o los
gusanos, las bombas lógicas son difíciles de detectar antes de que
exploten; por eso, de todos los dispositivos informáticos criminales, las
bombas lógicas son las que poseen el máximo potencial de daño. Su
detonación puede programarse para que cause el máximo de daño y
para que tenga lugar mucho tiempo después de que se haya marchado
el delincuente. La bomba lógica puede utilizarse también como
instrumento de extorsión y se puede pedir un rescate a cambio de dar a
conocer el lugar en donde se halla la bomba.

2. Fraude a través de Computadoras

Cuando la computadora es el medio para realizar y maquinar fraudes por una

persona, se considera un delito.

a. Manipulación de los datos de entrada

Este tipo de fraude informático conocido también como sustracción de

datos, representa el delito informático más común ya que es fácil de
cometer y difícil de descubrir. Este delito no requiere de conocimientos
técnicos de informática y puede realizarlo cualquier persona que tenga
acceso a las funciones normales de procesamiento de datos en la fase
de adquisición de los mismos.
 b. Manipulación de Programas

Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el

delincuente debe tener conocimientos técnicos concretos de informática.
Este delito consiste en modificar los programas existentes en el sistema
de computadoras o en insertar nuevos programas o nuevas rutinas. Un
método común utilizado por las personas que tienen conocimientos
especializados en programación informática es el denominado Caballo
de Troya, que consiste en insertar instrucciones de computadora de
forma encubierta en un programa informático para que pueda realizar
una función no autorizada al mismo tiempo que su función normal.

c. Manipulación de los datos de salida

Se efectúa fijando un objetivo al funcionamiento del sistema informático.

El ejemplo más común es el fraude de que se hace objeto a los cajeros
automáticos mediante la falsificación de instrucciones para la
computadora en la fase de adquisición de datos. Tradicionalmente esos
fraudes se hacían a base de tarjetas bancarias robadas, sin embargo,
en la actualidad se usan ampliamente equipo y programas de
computadora especializados para codificar información electrónica
falsificada en las bandas magnéticas de las tarjetas bancarias y de las
tarjetas de crédito.

d. Otro ejemplo común.

Por ejemplo, cuando una persona tiene acceso a una base de datos de
nóminas de una empresa, y tiene la capacidad y autorización para manipular
los sueldos de los empleados, esta persona tiene la oportunidad de cometer
un delito al tomar la fracciones pequeñas de los centavos y manipularlas de
tal manera que las manda a su cuenta y así obtener ganancias deshonestas
lo que sería un fraude.
Una posible manera de tener más control sobre este tipo de actos, sería
designar a un grupo encargado de la administración de las nóminas de los
empleados de la empresa y que ese grupo se encargue de mantener todo
bajo control, revisando muy bien cada movimiento que se realice y a donde
se está enviando el dinero, porque de esta manera ya son más personas y no
es una sola que podría hacerlo sin que nadie se dé cuenta, así habría menos
probabilidades de que se cometa el incidente.

3. Estafas electrónicas

El hacer compras en línea mediante el uso de Internet o alguna red de

servicio, y no cumplir con lo establecido en el acuerdo de compra en entregar
el producto de forma completa o parcial se considera fraude, lo que es muy
común al hacer compras por Internet donde se requiere pagar a la cuenta de
alguna persona antes de recibir el pedido.
Las personas que se dedican a este tipo de estafas, consiguen clientes,
gente que se interese en comprarles el producto que venden y cuando esas
personas se deciden por hacer la compra y pagan a la cuenta que se les dio,
ya no se entrega nada pues lograron engañar a todas esas personas.
También aquellos lugares o sitios donde se hacen citas, ofrecen cosas que
luego no son verdad, son estafas electrónicas. Lo que hace que no se pueda
tener la suficiente confianza para hacer las compras en línea.
Por lo que lo mejor sería limitarse a hacer las compras solo en aquellos
lugares que están garantizados y son conocidos. Hay que evitar aquellos que
son sospechosos o que no son conocidos y no dan confianza, porque ahí se
podría generar una estafa.

4. Pesca u olfateo de contraseñas

Hacer uso de programas o métodos que puedan descifrar claves o que

puedan averiguar o buscarlas. Ya sean claves personales de una cuenta de
correo electrónico, contraseña para entrar al sistema, claves de acceso a
algún sitio, claves de productos, etc.
Para poder evitar un poco esto, se recomienda que las claves no sean muy
obvias, teniendo como respuesta el nombre de una persona familiar, o el de
la mascota de esa persona, fecha de nacimiento, o frases que use
comúnmente. También es importante cambiar periódicamente las
contraseñas para que así no sea siempre una posibilidad de descifrar la
contraseña.

5. Juegos de Azar

Los juegos de azar son aquellos juegos de casino o que hacen uso del factor
"suerte"
Para obtener ganancias a través de la red, donde se hacen apuestas o
inversiones de dinero.
Esto está prohibido en ciertos lugares, países o regiones, así que solo aplica
para ellos. Pues dependiendo de la Ley que tengan en esos lugares, puede o
no ser un delito. Y si se sorprende a una persona obteniendo ganancias
producto de los juegos de azar, se hallará como cometiendo un delito.
Esto puede ser debido a que se prestan mucho a estafas o ganancias no
justificadas y por lo cual no están permitidas en esos lugares.

6. Lavado de dinero

Poner a funcionar el dinero producto del narcotráfico, o producto de estafas,

robos, fraudes o cualquier actividad ilegal. Pues este dinero lo invierten en
alguna actividad que aparenta no tener nada de malo, y lo que se obtiene es
producto de la inversión de dinero mal obtenido, por lo que no está permitido
el Lavado de Dinero.
Puede haber casinos electrónicos en los cuales se esté lavando el dinero, o
sorteos, o comercio como medio para el lavado de dinero.
7. Copia ilegal de software

Esta puede entrañar una pérdida económica sustancial para los propietarios
legítimos. Algunas jurisdicciones han tipificado como delito esta clase de
actividad y la han sometido a sanciones penales. El problema ha alcanzado
dimensiones transnacionales con el tráfico de esas reproducciones no
autorizadas a través de las redes de telecomunicaciones modernas. Al
respecto, consideramos, que la reproducción no autorizada de programas
informáticos no es un delito informático debido a que el bien jurídico a tutelar
es la propiedad intelectual

8. Espionaje Informático

El acceso se efectúa a menudo desde un lugar exterior, situado en la red de

telecomunicaciones, recurriendo a uno de los diversos medios que se
mencionan a continuación. El delincuente puede aprovechar la falta de rigor
de las medidas de seguridad para obtener acceso o puede descubrir
deficiencias en las medidas vigentes de seguridad o en los procedimientos
del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios
legítimos del sistema; esto suele suceder con frecuencia en los sistemas en
los que los usuarios pueden emplear contraseñas comunes o contraseñas de
mantenimiento que están en el propio sistema.

9. Infracción del copyright en bases de datos

Es la infracción de los derechos reservados del autor, ya que todo producto

de marca tiene sus derechos y el infringir y violar la información de las bases
de datos, ya sea ver, copiar, borrar, alterar es también un delito.

10. Uso ilegítimo de Sistemas Informáticos ajenos

El usar un Sistema Informático de manera prohibida o incorrecta fuera del

propósito para el que fueron creados, o para obtener ganancias a su autor o
solo por cometer actos ilegítimos en contra de alguien o algún Sistema.

11. Accesos no autorizados

El acceder a información, sitios o secciones que no están autorizadas a

usuarios comunes sino solo a aquellos que tienen autorización. Acceso
indebido. El que sin la debida autorización o excediendo la que hubiere
obtenido, acceda, intercepte, interfiera o use un sistema que utilice
tecnologías de información, será penado con prisión de uno a cinco años de
cárcel.
12. Interceptación de E-mail

Al enviar mensajes y correo electrónico a través de la Red, e interceptar esos

mensajes y desviarlos o eliminarlos, es un delito. También esto podría entrar
con los delitos de espionaje y podrían acumularse por lo que la sentencia
sería mayor. Aún más podría aumentarse cuando hay una demanda por
parte del afectado si logra comprobarse.

13. Pornografía Infantil

Exhibición pornográfica de niños o adolescentes. El que por cualquier medio

que involucre el uso de tecnologías de información, utilice a la persona o
imagen de un niño, niña o adolescente con fines exhibicionistas o
pornográficos, será penado con prisión de cuatro a ocho años.
Esto es por lo que los niños y adolescentes no tienen la conciencia suficiente
de la consecuencia que puede traer estos actos a ellos directamente y a
otras personas, porque aun cuando se diga que ellos están de acuerdo, no
puede tomarse en cuenta ya que se toma como manipulación de menores, ya
que los pueden convencer a cometer esos actos, o algunos en contra de su
voluntad y por verse obligados a hacerlo porque hay una amenaza en pie o el
maltrato físico de por medio.
Una forma de hacer que estos actos sean menos, es denunciando a las
personas que se dedican a la venta, distribución o exhibición de material
pornográfico, o hacer participes a los menores de edad. También como dejar
de consumir y pagar por obtener ese material.

14. Falsificación Informática

Como objeto. Cuando se alteran datos de los documentos almacenados en

forma computarizada.

Como instrumento. Las computadoras pueden utilizarse también para

efectuar falsificaciones de documentos de uso comercial. Cuando empezó a
disponerse de fotocopiadoras computarizadas en color a base de rayos láser
surgió una nueva generación de falsificaciones o alteraciones fraudulentas.
Estas fotocopiadoras pueden hacer copias de alta resolución, pueden
modificar documentos e incluso pueden crear documentos falsos sin tener
que recurrir a un original, y los documentos que producen son de tal calidad
que sólo un experto puede diferenciarlos de los documentos auténticos.
 4.4 TECNICAS UTILIZADAS PARA PERPETRAR LOS
FRAUDES

1. Ingeniería Social.

Consiste en plantear situaciones para conmover o sobornar a quienes

pueden proporcionar la información deseada o facilitar la ocurrencia de
ilícitos.

Ejemplo:

Suponga que el criminal busca incluir depósitos a cuentas corrientes

fraudulentas. Entonces, el defraudador llama a un empleado de control, le
indica que dentro de los comprobantes de depósito hay uno que debe ser
sustituido por dos o más comprobantes similares.

Para obligarlo a colaborar con él, le ofrece el dinero que puede estar
necesitando urgentemente el empleado de control, o sutilmente lo amenaza
en su integridad personal o en la de su familia.

El fraude es descubierto después de que el criminal ha sacado la plata de su

cuenta corriente. El cliente afectado con el depósito sustituido reclama al
Banco y éste tiene que asumir la pérdida.

Nota: Observe que el ilícito se cometió sin utilizar métodos técnicos

sofisticados.

2. Puertas Levadizas (Fuga o Escape de Datos)

El concepto de “Puerta Levadiza” es el mismo que aplicaron nuestros

antepasados en las fortalezas amuralladas. El libre acceso fue suprimido,
para que cualquier cosa interna se considerara segura y toda externa fuera
sospechosa. Además quienes estaban fuera de la muralla, no detectaban la
entrada o salida de quienes estaban dentro.

El personal de PED puede construir puertas levadizas (rutinas) en los

programas de computador para permitir que los datos entren y salgan sin ser
detectados.

Ejemplos:
• Insertar un código especial para que a una cuenta se abonen dos veces los
intereses en lugar de una vez.

• Insertar un código especial para que los cargos a una cuenta no afecten el
saldo anterior de la cuenta.
3. Recolección de Basura.

Un criminal que actúa como escobita o basurero es alguien que usa la basura
de las aplicaciones de computador, dejada dentro de la instalación o en su
periferia después de la ejecución de un trabajo.

La basura o deshechos del computador contiene cosas como listados de

programas, listados con información o reportes y documentación de los
sistemas.

Los códigos correctos para accesar los archivos o las terminales, pueden ser
obtenidos por los criminales usando los datos residuales que se dejan en la
basura.

4. La Evasiva Astuta.

Desde que se inventaron los compiladores, la brecha entre el programador y

el computador ha ido ensanchándose contantemente. Ahora el cambio a un
programa puede ser bien controlado mediante un registro cronológico
detallado que contiene la evidencia de quien, cuando, porque, donde y como
se hizo el cambio.

Mientras esto ocurre a nivel de programador de aplicaciones, los

programadores de sistema (System Programmers) pueden desarrollar
métodos para evitar el uso de todos los medios normales de hacer el trabajo,
junto con los controles, inventando otro sistema de comunicarse con la
computadora en lenguaje de máquina. A estos se llamó PERCHES o
PATCHES en días remotos. También se le llamó DEBE; Does Evergthing But
Eat (Una rutina que hace de todos menos comer). Ahora el método se llama
EVASIVA ASTUTA.

La Evasiva Astuta no deja huellas y es, por con siguiente, un método limpio
de meterse en la computadora, cambiar las cosas, hacer que algo suceda y
hasta arreglar las cosas para que vuelvan a su estado original.

¿Como controlar el trabajo de los Systems Programmers, si normalmente

esos personajes son verdaderos “fanáticos de los bits” y no pueden vivir sin
comunicarse permanentemente con la computadora en lenguaje de
máquina?
5. Ir a Cuestas para tener Acceso no Autorizado.

Si los perpetradores no pueden construir una puerta levadiza, si la evasiva

astuta es abatida o si no funciona la ingeniería social, el ir sobre los hombros
o sobre las espaldas puede ser la alternativa para los criminales.

“Ir a cuestas” es un paseo que se da el perpetrador con la gente influyente y

que es aprovechado para realizar sus hazañas de prestidigitador (tramposo)
conducente a abrir las líneas de comunicación, abrir las puertas del centro de
cómputo, lograr acceso a las terminales y otras proezas para violar la
seguridad de los sistemas computarizados.

Esta técnica varía desde trampas muy simples hasta tretas electrónicas
complejas.

Ejemplo:
Ir a cuestas para entrar a una sala de cómputo bien protegida contra acceso
no autorizado. Para ingresar a la sala debe insertarse una tarjeta de banda
magnética en la ranura de la puerta. Cuando la persona autorizada pasa, la
puerta se cierra automáticamente; sin embargo, la tecnología tiene que
conceder suficiente tiempo para que pueda entrar un empleado cargado con
cinta o discos. Un criminal “ir a cuestas” puede entrar a la sala de computo
mientras la puerta permanece abierta.

Esta técnica también funciona cuando una terminal se abre por medio de una
contraseña. También puede usarse para que información no autorizada
emplee las mismas líneas de comunicación que la información autorizada.

6. La Técnica del Caballo de Troya.

Esta técnica es llamada así por la táctica militar que ayudó a los griegos a
conquistar Troya. Consiste en insertar una rutina fraudulenta que se activa
cuando cierta condición o una fecha ocurren.
Estas rutinas pueden ser introducidas preferiblemente adicionando un cambio
no autorizado en el momento de implantar un cambio autorizado.

7. Técnica del Taladro.

Consiste en la utilización de una computadora casera para llamar con

diferentes códigos hasta que uno de resultado.

Puede ser utilizada para descubrir las contraseñas de acceso a terminales.

En USA, Pepsi Cola Co. se vio seriamente abochornada cuando cuatro
chicos de 14 años descubrieron los códigos de seguridad de una de sus
computadoras en Canadá y ordenaron para sí cajas gratis de bebidas
gaseosas.
8. Agujeros del Sistema Operativo o Trampas-Puerta.

Trampas-Puerta son deficiencias en los sistemas operacionales. Como en

“Alicia en el País de las Maravillas”, existen muchos agujeros que permiten
caer en el país de las maravillas.

El uso de unas cuantas instrucciones de control son suficientes para cometer

fraudes, sin necesidad de que el perpetrador sea un experto en
programación. Basta con que el System Programmer sea suficiente experto y
puede aprovechar esos agujeros para introducir instrucciones adicionales
malintencionadas.

9. Utilizar la Apatía del Usuario.

Cuando los usuarios llegan a ver los sistemas como “cajas negras mágicas”,
esos usuarios se convierten en personas “demasiado creyentes”. Esto es,
creen que si la computadora lo hizo, debe estar correcto; por consiguiente,
¿por qué permitir que unos cuantos mensajes de error arruinen su día?

De otra parte, algunos usuarios llegan a familiarizarse con la experiencia de

que archivando las fastidiosas salidas con mensajes de error, tres días
después desaparecen. Esta situación puede ser aprovechada por el
programador para cometer fraudes.

10 Juego de la PIZZA.

Es una técnica para tener fácil acceso a salas de cómputo estrechamente

controladas. Utilizando el juego de la Pizza, el perpetrador se hace pasar por
la persona que entrega la pizza. Con este disfraz, el individuo se garantiza el
acceso inmediato a la sala de cómputo durante y después de las horas
normales de trabajo.

11 Bombas de Relojería o Bombas Lógicas.

Colocación de instrucciones malintencionadas dentro de un programa

inofensivo, para ser activadas en fechas determinadas o por cierto estímulo.

Por ejemplo, unos estudiantes Londinenses programaron un terminal de

demostración para que exhibiera obscenidades en la pantalla cuando fuera
accesada por un determinado dignatario visitante.
 12 Superzapping.

Utilización de programas de acceso universal de algunos computadores (una

especie de llave maestra) para pasar por sobre todos los controles normales
y permitir el acceso a todos los archivos de datos.

Esta técnica es especialmente peligrosa porque, en manos diestras, no deja

rastros o indicios. Puede ser utilizada para manipular directamente los
archivos maestros.

En IBM existen programas de utilidad como SUPERZAP (Ver Ditto) y DFU

que pueden ser utilizados para cometer fraudes. Por este motivo, algunos
denominan a este técnica SUPERZAPPING.

Estos programas de utilidad están ubicados frecuentemente en librerías

donde los puede usar cualquier programador u operador que conozca su
existencia.

13 Manipulación de Transacciones.

Es el método más frecuentemente utilizado, consiste en cambiar la

información antes o durante la entrada al computador.
Puede ser perpetrado por cualquier por cualquier persona que tenga acceso
al proceso de crear, registrar, transportar, codificar, examinar o convertir la
información que entra al computador. Se comete agregando transacciones no
autorizadas, alterando transacciones, no procesando transacciones o
combinando varios métodos.

Manipulación: maniobra o manejo destinado a engañar.

Intercepción de Líneas de Comunicación de Datos.

Se intervienen los circuitos de comunicación entre:

• Terminales y concentradores.
• Terminales y computadores
• Computadores y computadores

La intercepción de comunicaciones por teléfono, microondas o satélite, es

técnicamente posible.

El uso de hardware de criptografía es un método efectivo para evitar este tipo

de penetración.3

3
SEMINARIO – TALLER DISEÑO DE CONTROLES INTERNOS PARA SISTEMAS
DE INFORMACION MODULO V
DISEÑO DE CONTROLES PARA LA PREVENCION DE DELITOS CON EL COMPUTADOR