Sis Siste temas deI nform formación ión Gerencial ial
Página 1
EL FRAUDE EN SISTEMAS COMPUTARIZADOS COMPUTARIZADOS Modernamente el auditor no fundamenta la eficiencia de su trabajo en el descubrimiento de los fraudes que pueden estarse dando en la empresa auditada. Es suficiente que el trabajo sea desarrollado desarrollado con base base en las norm normas as de de audi auditor toría ía acep aceptad tadas as por por la la comun comunida idad d de audit auditore oress a nive nivell inte intern rnaci aciona onal, l, para para que goce de confiabilidad por parte de quienes hacen uso de la información auditada. Sin embargo, normalmente, una auditoría adelantada con rigor, tiende a descubrir la mayoría de los fraudes en los entes auditados. La auditoría, en su versión moderna, es asesora de la alta dirección para efectos de implementar oportuna y adecuadamente el sistema de Control Interno, e imprimir de esta manera, confiabilidad en la información financiera o de otro tipo, con relación a la exactitud, eficiencia, efectividad y economicidad de las operaciones empresariales. A continuación se describen algunos de los fraudes que normalmente se presentan en los sistemas computarizados.
1. MANIPULACIÓN DE TRANSACCIONES La manipulación de transacciones ha sido el método más utilizado para la comisión de fraudes, en ambientes computarizados. El mecanismo para concretar el fraude informático consiste en cambios los datos antes o durante la entrada al computador. Puede ser ejecutado por cualquier persona persona que tenga acceso a crear, registrar, transportar, codificar, examinar, comprobar o convertir los datos que entran al computador.
2. TÉCNICA DE SALAMI Consiste en sustraer pequeñas cantidades (tajadas) de un gran número de registros, mediante la activación de rutinas incluidas en los los programa aplicativos corrientes. corrientes. La empresa es la dueña del salami salami (archivo de datos) de donde el desfalcador toma pequeñas sumas (centavos) para llevarlos a cuentas especiales, es peciales, conocidas solamente por el perpetrador del fraude. Aquí, normalmente, normalmente, se dificulta descubrir el fraude y quién lo comete. Esta técnica es muy común en los programas que calculan intereses, porque es allí donde se facilita la sustracción de residuos resid uos que generalmente nadie detecta, configurándose cómodamente el fraude.
3. TÉCNICA DEL CABALLO DE TROYA Consiste en insertar instrucciones, con objetivos de fraude, en los progr program amas as apli aplicat cativo ivos, s, de maner maneraa que, que, además además de las las funci funcione oness propia propiass del programa, también ejecute funciones no autorizadas. Las instrucciones fraudulentas se esconden dentro de las demás, obteniendo acceso libre a los archivos de datos normalmente usados
I van Javier Monterrosa Castro
22/03/04
Sis Siste temas deI nform formación ión Gerencial ial
Página 2
por el prog program rama. a. Esta técnica de fraude es muy común debido a la facilidad que se presenta para ocultar las instrucciones fraudulentas dentro de cientos de instrucciones que generalmente componen los programas aplicativos. Sin embargo, no siempre la técnica del caballo de troya se configura en programas de aplicación, también se acostumbra en sistemas operativos y programas utilitarios. Para efectos de incluir la instrucción en un programa legítimo, el programador aprovecha la autorización para para hac hacer er cam cambi bios os cor corri rient entes es a los los pro progr gram amas as y en en ese ese mome moment nto o incl incluy uyee las las inst instru rucc ccio iones nes fraudul fraudulen entas tas,, evidentemente no autorizadas. A esto se debe que la técnica haya adoptado el nombre de Caballo de Troya.
4. LAS BOMBAS LÓGICAS Esta técnica consiste en diseñar e instalar instrucciones fraudulentas en el software autorizado, para ser activadas cuando se cumpla una condición o estado específico. Esta técnica de fraude es difícil de descubrir porque mientras no sea satisfecha la condición o estado específico, el programa funciona normalmente, procesando los datos autorizados sin arrojar sospecha de ninguna ninguna clase. Cuando la condición de fraude se cumple, automáticamente se ejecuta la rutina no autorizada, produciéndose produciénd ose de esta manera el fraude. Entra las condiciones condicione s más frecuentes para la prácti práctica ca de este tipo de fraude fraude están: están: abonar abonar un crédi crédito no auto autori rizad zado o a una cuent cuentaa cuando cuando el el reloj reloj del del computador alcance alcance determinado día y hora. Hacer un traslado traslado de fondos cuando el computador encuentre una determinada condición, por ejemplo, una fecha. Esta técnica de fraude se diferencia de la del caballo de troya, básicamente, en que la instrucción o instrucciones fraudulentas se incluyen en el programa cuando se está generando originalmente el sistema. En cambio, en el caballo de troya, se incluyen las instrucciones fraudulentas cuando es autorizada una modificación al programa.
5. JUEGO DE LA PIZZA El juego de la pizza es un método relativamente fácil para lograr el acceso no autorizado a los centros de procesamiento de datos, así estén adecuadamente controlados. Consiste en que un individuo se hace pasar por el que entrega la pizza pizza (o cualqu cualquie ierr pedid pedido) o) y en esa esa form formaa se garant garantiz izaa la entra entrada da a las las instalaciones del área de procesamiento durante y después de las horas de trabajo.
I van Javier Monterrosa Castro
22/03/04
Sis Siste temas deI nform formación ión Gerencial ial
Página 3
6. INGENIERÍA SOCIAL Esta técnica consiste en planear la forma de abordar a quienes pueden proporcionar información valiosa o facilitar de alguna manera la comisión de hechos ilícitos. ilícitos. Se recurre luego a argumentos conmovedores y/o a sobornar a las persona personass para para alcanz alcanzar ar los los objet objetivos ivos deseado deseados. s. Esta técnica combina las características del petulante y del jacta jactanci ncioso oso para para conseg consegui uirr el hecho hecho fraud fraudul ulent ento. o. Ademá Además, s, normalmente, usan un estilo de actuación importante, vestido elegante, amenazas sutiles y porciones aisladas de información clave de la organización para influir en la otra persona. persona.
7. TRAMPAS PUERTA Las trampas – puerta son deficiencias del sistema operacional, desde las etapas de diseño original (agujeros del sistema operacional). Los expertos programadores del sistema pueden aprovechar las debilidades del sistema operacional para insertar instrucciones no autorizadas, en dicho sistema, con el objeto de configurar fraudes informáticos. Las salidas del sistema operacional permiten el control a progr program amas as escr escrit itos os por por el usua usuari rio, o, lo cual cual faci facili lita ta la operacionalización de fraudes, en numerosas opciones.
8. SUPERZAPING El superzaping deriva su nombre de SUPERZAP, un programa utilitario de IBM de un alto riesgo por sus capacidades. Permite adicionar, modificar y/o eliminar registros de datos, datos de registros registros o agregar caracteres dentro de un archivo maestro, sin dejar rastro y sin modificar ni corregir los progr program amas as norma normalm lment entee usado usadoss par paraa mant mantene enerr el el arch archiv ivo. o. Este programa permite consultar los datos para efectos de conocimiento o para alterarlos, omitiendo todos los controles y seguridades en actividad establecidos. Hay otro programa similar al SUPERZAP, en el sistema 34 de IBM, denominado DBU. Todos los sistemas de computación tienen programas de
I van Javier Monterrosa Castro
22/03/04
Sis Siste temas deI nform formación ión Gerencial ial
Página 4
alto riesgo como el SUPERZAP, los cuales funcionan como especies de llaves maestras o programas de acceso universal.
9. EVASIVA ASTUTA Esta técnica consiste en un método inventado como consecuencia de la aparición de los compiladores. Los programadores de sistema inventaron la forma de comunicarse con la computadora a través de lenguaje de máquina. Esta técnica también se conoce con el nombre de parches. Es un método limpio para para entrar entrar en la comput computado adora, ra, cambia cambiarr las cosas, cosas, hacer hacer que algo algo suceda suceda y hasta hasta cambia cambiarl rlas as para para vuelvan vuelvan a su forma forma original original sin sin dejar rastros para auditoría. En la medida en que se fue sofisticando la tecnología de esta metodología de fraude, se le llamó “DEBE” (Does Everything But Eat; Una rutina que hace todas las cosas excepto comer).
10. RECOLECCIÓN DE BASURA La recolección de basura es una técnica para obtener información abandonada o alrededor del sistema de computación, después de la ejecución de un trabajo. Consiste en buscar buscar copias copias de listados listados produc producido idoss por el comput computado adorr y/o papel papel carbón carbón y de allí allí extrae extraerr información en términos de programas, datos, contraseñas y reportes especiales.
11. IR A CUESTAS PARA TENER ACCESO AUTORIZADO Se trata de una técnica de fraude informático para lograr el acceso no autorizado a los recursos del sistema, entrando en trando a cuestas c uestas de alguien influyente influyente (piggyback) (piggyback) o por suplantación. suplantación. El piggyback físico consiste en seguir a un funcionario autorizado dentro de un área de acceso controlada, protegida por puertas cerradas electrónicamente. El piggyback electrónico consiste en usar una terminal está ya activada o usar una termina secreta conectada a una línea activada para acceder la información del sistema, comprometiendo el régimen de seguridad. La imitación, sea física o electrónica, implica la obtención de contraseñas, códigos secretos y la suplantación de personas autorizadas para entrar en el área de computación.
12. PUERTAS LEVADIZAS Esta técnica consiste en la utilización de datos, sin la debida autorización, mediante rutinas involucradas en los programas o en los dispositivos de hardware.
I van Javier Monterrosa Castro
22/03/04
Sis Siste temas deI nform formación ión Gerencial ial
Página 5
Métodos sofisticados de escape de datos pueden ser ejercidos en ambientes de alta seguridad y alto riesgo. Por ejemplo, información información robada robada es decodificada decodificada de modo que el personal personal del centro de proce procesa samie miento nto electr electróni ónico, co, no pueda pueda descub descubri rirr que está pasand pasando. o. Dicha Dicha inform informaci ación ón puede puede ser ser reportada por medio de radios transmisores en miniatura (BUGS), colocados secretamente en la CPU de muchos computadores, como sucedió en la guerra de Vietnam. Estos BUGS fueron capaces de transmitir el contenido de las computadoras a receptores remotos, concretándose de esta manera el escape de datos a través del concepto de puertas levadizas. El personal del área de procesamiento puede construir puertas levadizas en los programas o en los dispositivos de hardware para facilitar la salida de datos y la entrada de los mismos sin ser detectados.
13. TÉCNICA DEL TALADRO Esta técnica consiste en utilizar una computadora para llamar o buscar la manera de entrar al sistema con diferentes códigos hasta cuando uno de ellos resulte aceptado y permita el acceso a los archivos deseados. Mediante el sistema de ensayo permanente se descubren las contraseñas del sistema para entrar a los archivos y extraer información en forma fraudulenta.
14. INTERCEPCIÓN INTERCEPCIÓN DE LÍNEAS LÍNEAS DE COMUNICA COMUN ICACIÓ CIÓN N Esta técnica de fraude informático consiste en establecer una conexión secreta telefónica o telegráfica para para inter intercep ceptar tar mensaj mensajes. es. Norm Normal almen mente, te, las conexi conexione oness activ activas as o pasiva pasivass se instala instalan n en los circui circuitos tos de comunica comunicació ción n de dato, dato, entre: 1. Terminales y concentradores 2. Terminales y computadores 3. Computadores y computadores De otra parte, la intercepción de comunicaciones por micro-ondas y vía satélite es también posible técnicamente.
I van Javier Monterrosa Castro
22/03/04
Hackers utilizan técnicas de ingeniería social INFORME DE ETEK
Los hackers y asaltantes de redes están utilizando con mayor frecuencia técnicas de ingeniería social para engañar a usuarios de computadores e Internet y obtener las contraseñas y cualquier otro tipo de información confidencial personal o empresarial. La ingeniería social es la técnica más eficaz para hacerse con secretos celosamente protegidos, ya que no requiere una sólida formación técnica ni de grandes conocimientos sobre protocolos y sistemas operativos. En el entorno de Internet y de las tecnologías de información, el término “Ingeniería Social” hace referencia al conjunto de técnicas de haccking destinadas a penetrar redes de computación para obtener secretos e información clasificada, utilizando artificios para engañar al usuario y forzarlo a que revele sus contraseñas y otra información que pueda comprometer la seguridad del sistema bajo ataque.
La ingeniería social se basa en maniobras maniobras y artificios utilizados para obtener información sensible de otros usuarios mediante engaños y tretas. Cuando un hacker o atacante de redes no puede obtener acceso a un sistema utilizando sus técnicas habituales, entonces se comunica directamente con con la víc tima, entabla un diálogo y la convence de que le entregue la información sin que se de cuenta de lo que realmente sucede. La Ingeniería Social se emplea tanto para obtener números de tarjetas de crédito, passcrédito, passwords para a Internet, tarjetas de llamadas, así como contraseñas para cajeros automáticos. También es común en estafas con hoteles de tiempo compartido o con la compra de teléfonos celulares por suscripción. Esta técnica requiere que los piratas y asaltantes de redes se comuniquen con los usuarios y obtengan los datos para después analizarlos y utilizarlos con un fin diferente al que originalmente se informó
cuando se información.
solicitó
la las redes de información. No existe existe ningún ningún sistema sistema de información que no No solo por teléfono dependa de algún dato La ingeniería social no ingresado por un operador humano. sólo se limita a telefone ar y humano. obtener información. En métodos algunos casos también es Los considerada como famosos ingeniería social la Los más recientes virus publicid publicidad ad que que ‘Invita ‘Invita”” a las de e-mail como el “I “I Love personas personas a escribir escribir una You”, “Esposa Desnuda” o carta y enviarla a el “SirCam” son un claro determinada dirección o fax ejemplo de ingeniería con sus datos para un social. Hacerse pasar por sorteo; o tomar datos administrado administradorr de un sistema personales personales mediante mediante una o por personal técnico de supuesta encuesta en la vía un proveedor de acceso a públi pública. Algunos Algunos ejemplos ejemplos de Internet constituyen de ingeniería social inclu- estratagemas habituales yen: llamadas telefónicas para conseguir conseguir las con para pedir números números de serie serie traseñas de acceso a los de teléfonos celulares para sistemas. Para persuadir a clonarlos; hacerse pasar un individuo de entregar su por un funcion funcionario ario del información confidencial banco para pedir la clave pueden pueden utilizarse lizarse varios varios de las tarjetas débito o métodos de ingeniería crédito; llamadas social: telefónicas del proveedor La ejecución de un virus de Internet informando troyano por el usuario que ciertas ciert as fall as en el e-mail recibe un e-mail con un del usuario y solicitando la archivo adjunto infectado. contraseña de acceso. Al receptor se le tienta a La ingeniería social se que abra el archivo concentra en el eslabón mediante frases llamativas más débil de las políticas de o familiares como “Aquí te seguridad. El factor envío este archivo para me humano es una parte des tu punto de vista”, ó, esencial en la seguridad de “¿Ya tie nes fotos de tu
esposa desnuda?”. La voz agradable de una persona al otro lado de la línea que dice pertenecer al departamento técnico del proveedor de acceso a Internet preguntando datos confidenciales para resolver un problema en el servicio. El llamado de un usuario que necesita que se le asignen nuevamente su contraseña de acceso a Internet porque no la recuerda.
Página 7 de 9
El reto: proteger la información ¿Su empresa protege la información tanto como sus otros activos? El ataque del Blaster Blaster dejó casi 400.000 víctimas en ocho días. MSBlaster o Lovsan es el gusano que infectó alrededor del mundo a los computadores que usan plataformas Windows. Según el reporte de seguridad del 15 de agosto de Symantec, proveedor de tecnología de seguridad para internet, "si se combina el número de PC infectados por los tres gusanos más recientes, Slammer, Code Red y Nimda, no iguala la cantidad de máquinas vulnerables al Blaster". A pesar de que Microsoft el 16 de julio había reconocido una vulnerabilidad en los sistemas Windows y puso a disposición del público un parche para prevenir el ataque, este se produjo el 11 de agosto. En pocas horas infectó a computadores de grandes corporaciones, gobiernos, universidades y hogares. Aunque no es posible estimar el costo un computador fuera de funcionamiento en la empresa, ¿usted se ha preguntado cuál sería el costo para su negocio si al llegar a su oficina, sus bases de datos, el programa de inventarios, la contabilidad y los programas que manejan la línea de producción no funcionan? Depende del tamaño de su
"Es muy fácil cuidarse de problemas como el Blaster. Basta con estar pendiente en internet de las actualizaciones de software y antivirus". José Antonio Barraquer, Microsoft.
Página 7 de 9
El reto: proteger la información ¿Su empresa protege la información tanto como sus otros activos? El ataque del Blaster Blaster dejó casi 400.000 víctimas en ocho días. MSBlaster o Lovsan es el gusano que infectó alrededor del mundo a los computadores que usan plataformas Windows. Según el reporte de seguridad del 15 de agosto de Symantec, proveedor de tecnología de seguridad para internet, "si se combina el número de PC infectados por los tres gusanos más recientes, Slammer, Code Red y Nimda, no iguala la cantidad de máquinas vulnerables al Blaster". A pesar de que Microsoft el 16 de julio había reconocido una vulnerabilidad en los sistemas Windows y puso a disposición del público un parche para prevenir el ataque, este se produjo el 11 de agosto. En pocas horas infectó a computadores de grandes corporaciones, gobiernos, universidades y hogares.
"Es muy fácil cuidarse de problemas como el Blaster. Basta con estar pendiente en internet de las actualizaciones de software y antivirus". José Antonio Barraquer, Microsoft.
Aunque no es posible estimar el costo un computador fuera de funcionamiento en la empresa, ¿usted se ha preguntado cuál sería el costo para su negocio si al llegar a su oficina, sus bases de datos, el programa de inventarios, la contabilidad y los programas que manejan la línea de producción no funcionan? Depende del tamaño de su compañía, el costo puede variar desde la simple incomodidad y el retraso en algunas tareas, hasta cientos de millones en pérdidas. El estudio 2003 Global Security Survey, conducido por Ernst & Young (E&Y), revela que 69% de los ejecutivos encuestados en Colombia considera como muy importante la seguridad en la información para alcanzar los objetivos de la compañía. Según el estudio, Colombia presentó durante el último año un porc entaje mayor de fallas en los sistemas de información críticos de negocio en comparación con el promedio mundial. Las empresas deben determinar qué tan crítica sería una falla en sus sistemas de información y establecer su compromiso con este tema, para definir políticas corporativas de protección de la información. ¿ L as e m p r e s as e s t á n p r e p ar ad as ? Según el estudio, el 52% de los encuestados reconoció haber sufrido interrupciones inesperadas en los sistemas críticos del negocio, debido a fallas de hardware, software, fallas en los sistemas de telecomunicaciones, virus y gusanos o errores operativos.
Mientras en el mundo el 59% de los ejecutivos considera adecuada la habilidad de su organización para determinar si sus sistemas de información están bajo ataque, solo el 31% de los encuestados en Colombia considera que su compañía está en ese nivel. Los expertos consultados coinciden en señalar algunos problemas en las organizaciones; por ejemplo, falta de políticas corporativas con respecto al manejo de la información y falta de presupuestos para invertir en protección de sistemas, concentración de información crítica en manos de personal no supervisado e implementación de soluciones aisladas a problemas puntuales.
Página 8 de 9 ¿ Q u é h ac e r ? En un mundo globalizado como el actual y con el uso masivo de la tecnología, la información y los sistemas informáticos son uno de los activos más valiosos de las compañías y, por tanto, deben ser tan protegidos como las personas, la infraestructura y las operaciones. Como explica el asesor en seguridad Luis Mariño Santos, "la seguridad de la información es fundamental para preservar la continuidad del negocio".
Las empresas deben hacer algunas tareas para prevenir los daños a sus sistemas de información. La instalación de firewalls ya sean adicionales o los incluidos en algunos paquetes y plataformas. La actualización permanente de los antivirus, que se puede hacer por medio de los proveedores de estos productos y por internet. La actualización del software, que los fabricantes permanentemente están entregando como resultado de la evaluación de sus sistemas y que no solo proporcionan mejoras en la funcionalidad sino en la seguridad. Para las empresas es recomendable contar con gente capacitada en el tema. En palabras de Luis Carlos Sarmiento, gerente de cuenta corporativa de Symantec, "es importante que las empresas tengan un experto en el tema, que tenga conocimientos claros y esté constantemente actualizado". Aunque se tomen estas medidas preventivas para evitar daños, es importante que las organizaciones tengan previsto qué hacer en caso de problemas. Esto puede comenzar por hacer backups periódicos de información crítica, guardados en las instalaciones de la compañía o en las instalaciones de terceros, hasta tener centros alternos de operación, desde donde sus ejecutivos y personal puedan mantener la continuidad del negocio. Sin embargo, los últimos hechos han probado que no hay garantías, ni seguridad 100%. Cada empresa necesita cuantificar los daños de quedarse sin sistema s de información durante durante una hora, un día o más, y debe tener capacidad de reaccionar rápidamente ante un problema en sus sistemas.
Sis Siste temas deI nform formación ión Gerencial ial
Página 9
BIBLIOGRAFÍA SELECTA •
PINILLA, José Dagoberto. Auditoria Informática. Un Enfoque Operacional. Operaciona l. ECOE Ediciones. Santafé de Bogotá, 1997.
•
El Universal. 10 de Septiembre de 2001. http://eluniversal.com.co
•
LESSARD, Bill. Bill. Esclavos de la Red. Más allá de la Ciberlibertad Ciberlib ertad todo siempre queda a merced del Libertinaje. Mc Graw-Hill. Gra w-Hill. México, 2000.
•
Revista Revista Dinero. Dinero. Septiembre 5 de 2003. 200 3. No. 189. 18 9. Colombia. http://www.dinero.com
I van Javier Monterrosa Castro
Página Página 50. 50 .
Publicaciones Publicaciones Dinero Ltda.
22/03/04