universidad de guayaquil facultad de ciencias ...repositorio.ug.edu.ec › bitstream › redug ›...
Post on 28-May-2020
14 Views
Preview:
TRANSCRIPT
-
UNIVERSIDAD DE GUAYAQUIL
FACULTAD DE CIENCIAS ADMINISTRATIVAS
INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS
TRABAJO DE TITULACIÓN PRESENTADA COMO REQUISITO PARA OPTAR
POR EL TÍTULO DE INGENIERÍA EN SISTEMAS ADMINISTRATIVOS
COMPUTARIZADOS
TEMA:
SECTOR BANCARIO DEL ECUADOR EN EL PERÍODO 2014
AUTORES:
JOSÉ JULIÁN ANGULO RAMÍREZ
MARIANA DE JESÚS CÓRDOVA SANTANA
TUTOR DE TESIS:
ING. RAÚL HUREL GUZMÁN
GUAYAQUIL, SEPTIEM BRE 2019
-
NO SI
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE ADMINISTRACION
CARRERA DE INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS
Unidad de Titulación
REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA
FICHA DE REGISTRO DE TESIS/TR ABAJO DE GRADUACIÓN
TÍTULO Y SUBTÍTULO: Ecuador en el periodo 2014 -
AUTOR(ES) (apellidos/nombres):
Angulo Ramírez José Julián Córdova Santana Mariana de Jesús
REVISOR(ES)/TUTOR(ES) (apellidos/nombres):
Ing. Raúl Hurel Guzmán, MAE.
INSTITUCIÓN: Universidad de Guayaquil
UNIDAD/FACULTAD: Facultad de Ciencias Administrativas
MAESTRÍA/ESPECIALIDAD: Ingeniería en Sistema Administrativos Computarizados
GRADO OBTENIDO: Ingeniería en Sistema Administrativos Computarizados
FECHA DE PUBLICACIÓN: 2019 No. DE PÁGINAS:
ÁREAS TEMÁTICAS: Proyecto de Investigación
PALABRAS CLAVES/ KEYWORDS:
Delitos informáticos, transacciones financieras, banca, guía, seguridad informática
RESUMEN/ABSTRACT (150-250 palabras): El inminente avance de la tecnología ha permitido desarrollar diversos métodos para que los usuarios realicen con
mayor facilidad una serie de transacciones financieras; sin embargo, a su vez ha sido el medio para crear y ejecutar
delitos que vulneran la seguridad de las plataformas de las instituciones bancarias.
El desarrollo de esta investigación tiene como meta diseñar/proponer una guía estratégica para coadyuvar a la
prevención de dichos delitos informáticos en las instituciones financieras del país; para lo cual se realizaron
encuestas a usuarios, además de entrevistas a empleados, especialistas informático-legales y auditores externos de
entidades bancarias, gracias a esta metodología se logró encontrar falencias en el área de seguridad de la
información.
Por lo tanto, concluimos que es necesaria la aplicación de estos procedimientos internos, los cuales los hemos
dividido en procedimientos de recuperación, de operación alterna y de restauración, siguiendo las normas de las
buenas practicas dirigidos a los especialistas informáticos; además de la capacitación constante a usuarios y a los administradores de justicia en temas de prevención de los delitos en la banca.
ADJUNTO PDF:
CONTACTO CON AUTOR/ES: Teléfono: 0991695160 0994639678
E-mail: juliangulo281985@gmail.com marianacordova86@hotmail.com
CONTACTO CON LA INSTITUCIÓN:
Nombre: Abg Elizabeth Coronel
Teléfono: 042848487
E-mail: fca.secretariageneral@ug.edu.ec
mailto:juliangulo281985@gmail.commailto:marianacordova86@hotmail.commailto:fca.secretariageneral@ug.edu.ec
-
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE ADMINISTRACION
CARRERA DE INGENIERIA EN SISTEMAS ADMINISTRAT IVOS COMPUTARIZADOS
Unidad de Titulación
CERTIFICADO PORCENTAJE DE SIMILITUD
Habiendo sido nombrado Ing. Raúl Hurel Guzmán, MAE., tutor del trabajo de
titulación, certifico que el presente trabajo de titulación ha sido elaborado por Ángulo
Ramírez José Julián C.I. 0921434858 y Córdova Santana Mariana de Jesús C.I.
0922598628, con mi respectiva supervisión como requerimiento parcial para la
obtención del título de Ingeniería en Sistema Administrativos Computarizados
Se informa que el trabajo de titulación:
informáticos en el sector bancario del Ecuador en el periodo 2014 - ,ha sido
orientado durante todo el periodo de ejecución en el programa anti plagio
(URKUND) quedando el 8%de coincidencia.
https://secure.urkund.com/old/view/53419223-123158- 906615#BcE7CoNAFEDRvUx9CfP+6laChYjKFLGxDNl7zvm2z9OWt3REkAmZUUMdDTTRwgxL3PHA kyApJuaV9ozrHufYt3s/2tJfvVws0rwiyrv67w8=
Ing. Raúl Hurel Guzmán, MAE., C.I.0916753650
https://secure.urkund.com/old/view/53419223-123158-906615%23BcE7CoNAFEDRvUx9CfP%2B6laChYjKFLGxDNl7zvm2z9OWt3REkAmZUUMdDTTRwgxL3PHAkyApJuaV9ozrHufYt3s/2tJfvVws0rwiyrv67w8%3Dhttps://secure.urkund.com/old/view/53419223-123158-906615%23BcE7CoNAFEDRvUx9CfP%2B6laChYjKFLGxDNl7zvm2z9OWt3REkAmZUUMdDTTRwgxL3PHAkyApJuaV9ozrHufYt3s/2tJfvVws0rwiyrv67w8%3Dhttps://secure.urkund.com/old/view/53419223-123158-906615%23BcE7CoNAFEDRvUx9CfP%2B6laChYjKFLGxDNl7zvm2z9OWt3REkAmZUUMdDTTRwgxL3PHAkyApJuaV9ozrHufYt3s/2tJfvVws0rwiyrv67w8%3D
-
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE ADMINISTRACION
CARRERA DE INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS
Unidad de Titulación
Guayaquil, agosto 18 de 2019
CERTIFICACIÓN DEL TUTOR / REVISOR
Habiendo sido nombrado Ing. Raúl Hurel Guzmán, MAE., tutor del trabajo de
titulación
bancario del Ecuador en el periodo 2014 - , certifico que el presente trabajo
de titulación, elaborado por Angulo Ramírez José Julián C.I. 0921434858 y
Córdova Santana Mariana de Jesús C.I. 0922598628, con mi respectiva
supervisión como requerimiento parcial para la obtención del título de Ingeniero en
Sistema Administrativos Computarizados en la Carrera Ingeniería en Sistema
Administrativos Computarizados, Facultad de Ciencias Administrativas, ha sido
REVISADO Y APROBADO en todas sus partes, encontrándose apto para su
sustentación.
Ing. Raúl Hurel Guzmán Ing. José Córdova Aragundi
C.I. No.0916753650 C.I. No. 0917236663
-
*CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN (Registro Oficial n. 899 - Dic./2016) Artículo 114.- De los titulares de derechos de obras creadas en las instituciones de educación superior y centros educativos.- En el caso de las obras creadas en centros educativos, universidades, escuelas politécnicas, institutos superiores técnicos, tecnológicos, pedagógicos, de artes y los conservatorios superiores, e institutos públicos de investigación como resultado de su actividad académica o de investigación tales como trabajos de titulación, proyectos de investigación o innovación, artículos académicos, u otros análogos, sin perjuicio de que pueda existir relación de dependencia, la titularidad de los derechos patrimoniales corresponderá a los autores. Sin embargo, el establecimiento tendrá una licencia gratuita, intransferible y no
exclusiva para el uso no comercial de la obra con fines académicos.
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE ADMINISTRACION
CARRERA DE INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS
Unidad de Titulación
LICENCIA GRATUITA INTRANSFERIBLE Y NO EXCLUSIVA PARA EL
USO NO COMERCIAL DE LA OBRA CON FINES NO ACADÉMICOS
Nosotros, Mariana de Jesús Córdova Santana con C.I. No. 0922598628 y José Julián
Angulo Ramírez con C.I. No. 0921434858, certificamos que los contenidos desarrollados
en este trabajo de titulación, cuyo título es
informáticos en el sector bancario del Ecuador en el período 2014 - son de nuestra
absoluta propiedad y responsabilidad Y SEGÚN EL Art. 114 del CÓDIGO ORGÁNICO DE
LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E
INNOVACIÓN*, autorizamos el uso de una licencia gratuita intransferible y no exclusiva
para el uso no comercial de la presente obra con fines no académicos, en favor de la
Universidad de Guayaquil, para que haga uso del mismo, como fuera pertinente.
MARIANA DE JESÚS CÓRDOVA SANTANA JOSÉ JULIÁN ANGULO RAMÍREZ C.I. No. 0922598628 C.I. No. 0921434858
-
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE ADMINISTRACION
CARRERA DE INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS
Unidad de Titulación
DEDICATORIA
Dedico la culminación de esta etapa primeramente a Dios
Todopoderoso por darme la vida, salud, y permitirme superar
los obstáculos presentados y hacerlos ver como retos, y en
segundo lugar, a mis adoradas: madre, hermana y sobrinas
que son el pilar fundamental en mis días.
José Julián Angulo Ramírez
Dedico mi trabajo de titulación a mi familia, en especial a mi
mamá e hija ya que son las fuerzas y las razones para
mantenerme firme y de haber podido superar cualquier
adversidad, son quienes me han brindado su apoyo a cada
paso dado hasta hoy.
Mariana de Jesús Córdova Santana
-
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE ADMINISTRACION
CARRERA DE INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS
Unidad de Titulación
AGRADECIMIENTO
Agradezco a la distinguida institución por haberme dado la
oportunidad de ser parte de ella, agradezco también a los
docentes que supieron impartir sus conocimientos de manera
desinteresada.
José Julián Angulo Ramírez
Mi agradecimiento va dirigido a nuestro Dios padre por sus
bendiciones, a la institución académica, quien ha permitido mi
formación junto al aporte de los docentes que han estado en el
trayecto, me es grato mencionar a la empresa en la que laboro
actualmente por ser parte también; agradezco a todos ellos por
contribuir y así yo haber tenido la oportunidad de persistir a
este logro profesional.
Mariana de Jesús Córdova Santana
-
UNIVERSIDAD DE GUAYAQUIL FACULTAD DE ADMINISTRACION
CARRERA DE INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS
Unidad de Titulación
ANÁLISIS DE LA TAXONOMÍA DE LOS DELITOS INFORMÁTICOS EN EL SECTOR BANCARIO DEL ECUADOR EN EL PERIODO 2014 -
Autores: Mariana de Jesús Córdova Santana
Julián Angulo Ramírez
Tutor: Raúl Hurel Guzmán, MAE.
RESUMEN
El inminente avance de la tecnología ha permitido desarrollar diversos métodos para que los
usuarios realicen con mayor facilidad una serie de transacciones financieras; sin embargo, a su vez
ha sido el medio para crear y ejecutar delitos que vulneran la seguridad de las plataformas de las
instituciones bancarias.
El desarrollo de esta investigación tiene como meta diseñar/proponer una guía estratégica
para coadyuvar a la prevención de dichos delitos informáticos en las instituciones financieras del
país; para lo cual se realizaron encuestas a usuarios, además de entrevistas a empleados,
especialistas informático-legales y auditores externos de entidades bancarias, gracias a esta
metodología se logró encontrar falencias en el área de seguridad de la información.
Por lo tanto, concluimos que es necesaria la aplicación de estos procedimientos internos, los
cuales los hemos dividido en procedimientos de recuperación, de operación alterna y de
restauración, siguiendo las normas de las buenas prácticas dirigidos a los especialistas informáticos;
además de la capacitación constante a usuarios y a los administradores de justicia en temas de
prevención de los delitos en la banca.
Palabras Claves: Delitos informáticos, transacciones financieras, banca, guía, seguridad informática.
-
UNIVERSIDAD DE GUAY AQUIL FACULTAD DE ADMINISTRACION
CARRERA DE INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS
Unidad de Titulación
THE
BANKING SECTOR OF ECUADOR IN THE PERIOD 2014 -
Autores: Mariana de Jesús Córdova Santana
Julián Angulo Ramírez
Tutor: Raúl Hurel Guzmán, MAE.
ABSTRACT
The imminent advance of technology has allowed the development of various methods
for users to more easily carry out a series of financial transactions; however, in turn it has been the
means to create and execute crimes that violate the security of banking institutions' platforms.
The purpose of this investigation is to design / propose a strategic guide to help prevent
such computer crimes in the country's financial institutions; Therefore, user surveys were
conducted, in addition to interviews with employees, computer-legal specialists and external
auditors of banking entities, thanks to this methodology it was possible to find flaws in the security
área.
Therefore, we conclude that the application of these internal procedures is necessary,
which we have divided into procedures for recovery, alternate operation and restoration, following
the standards of good practices aimed at computer specialists; in addition to the constant induction
of users and administrators of justice in matters of crime prevention in banking.
Keywords: Cybercrime, financial transactions, guidelines, banking, Informatic security
-
TABLA DE CONTENIDOS
CAPÍTULO I ................................................................................................................................. 1
PLANTEAMIENTODEL PROBLEMA ....................................................................................... 1
1.1 Antecedentes del problema.................................................................................................. 1
1.2 Planteamiento del problema ................................................................................................ 2
1.3 Sistematización del problema .............................................................................................. 3
1.3.1 Planteamiento de las hipótesis ......................................................................................... 4
1.3.2 Objetivo general............................................................................................................... 4
1.3.3 Objetivos específicos ....................................................................................................... 4
1.3.4 Justificación de la investigación ...................................................................................... 5
1.3.5 Viabilidad del estudio ...................................................................................................... 6
CAPÍTULO II ............................................................................................................................... 7
MARCO TEÓRICO ...................................................................................................................... 7
2.1 Delitos informáticos-bancarios ........................................................................................... 7
2.1.1 Fraude Bancario 7
2.1.2 Phishing 8
2.1.3 Ataque BIN 10
2.1.4 Rounding Down o Técnica del Salami ................................................................... 12
2.1.5 Skimming o clonación de tarjetas ........................................................................... 13
2.1.6 Ransonware 14
2.1.7 Bombas lógicas 16
2.1.8 Ataque Man-In-The-Middle 17
2.1.9 Keylogger 18
2.1.10 Ataques a tecnología Contactless ......................................................................... 20
2.2 Campos de estudio ............................................................................................................. 21
2.2.1 Aspectos Legales ........................................................................................................... 21
2.2.1.1 Que es la tipificación de un Delito?..................................................................... 21
2.2.1.2 Normativas aplicables al delito informático en el Ecuador ................................. 24
2.2.1.3 Ley Orgánica de Instituciones del Sistema Financiero. ....................................... 24
-
2.2.1.4 Ley Orgánica de Transparencia y Acceso a la Información Bancaria ................. 25
2.2.1.5 Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos .......... 25
2.2.1.6 Ley de Propiedad Intelectual (Código Ingenios). ................................................ 26
2.2.1.7 Ley de Habeas Data ............................................................................................. 27
2.2.1.8 Código Orgánico Integral Penal. ......................................................................... 28
2.2.1.9 Delitos financieros-bancarios .............................................................................. 30
2.2.1.10 Características de dos delitos financieros .......................................................... 32
2.2.1.11 Entes reguladores de las Instituciones Bancarias en en el Ecuador ................... 32
2.2.1.11.1 Superintendencia de Bancos ................................................................................... 32
2.2.1.11.2 Servicio de Rentas Internas ..................................................................................... 33
2.2.2 Aspectos Técnicos ......................................................................................................... 35
2.2.2.1 Seguridad Informática ......................................................................................... 35
2.2.2.2 Conceptos básicos de Seguridad Informática ...................................................... 36
2.2.2.3 Opiniones de especialistas anónimos sobre seguridad en la banca ..................... 38
2.2.2.4 Cómo implementar una política de seguridad ..................................................... 39
2.2.2.5 Objetivos de la seguridad Informática ................................................................. 41
2.2.3 Servicios financieros en las entidades bancarias ........................................................... 41
2.2.3.1 Servicios Financieros con cargo básico ............................................................... 42
2.2.3.2 Servicios Financieros con cargo máximo ............................................................ 43
2.2.3.3 Servicios Financieros con cargo diferenciado ..................................................... 44
2.2.3.4 Banca Virtual o Banca Móvil .............................................................................. 44
2.2.3.5 Contactless 48
CAPÍTULO III ............................................................................................................................ 49
METODOLOGÍA ....................................................................................................................... 49
3.1 Modalidad de la Investigación ........................................................................................... 49
3.2 Tipo de Investigación ........................................................................................................ 49
3.3 Fuentes 50
3.4 Muestra .............................................................................................................................. 50
3.4.1 Muestra Clientes/Usuarios de Bancos ............................................................................ 50
3.4.2 Muestra Expertos Informáticos ...................................................................................... 50
3.4.3 Muestra Expertos Delitos Informáticos ......................................................................... 50
3.5 Instrumentos de la Investigación ....................................................................................... 51
-
3.5 Procedimientos de la Investigación ................................................................................... 51
3.5.1 Aplicaciones 51
3.5.2 Los instrumentos (formularios): ............................................................................. 51
CAPÍTULOIV ............................................................................................................................. 60
RESULTADOS ........................................................................................................................... 60
4.1 Los resultados .................................................................................................................... 60
4.2 Tabulaciones de encuestas a usuarios ................................................................................ 60
4.2.1 Cuestionario tipo encuesta de actividades ilícitas utilizando las TICs en las Instituciones bancarias dirigida a Clientes/Usuarios de la Banca ........................................... 60
4.2.2 Conclusiones de las respuestas de especialistas ............................................................ 70
4.2.3 Recomendaciones en base a los resultados .................................................................... 71
PROPUESTA .............................................................................................................................. 72
4.3 La propuesta ................................................................................................... 72
4.3.1 Responsabilidades .......................................................................................................... 73
4.3.2 Componentes de la infraestructura actual ...................................................................... 73
4.3.3 Componentes críticos .................................................................................................... 75
4.3.4 Modelo sugerido para mitigar riesgos ........................................................................... 75
4.3.4.1 Riesgo 1: DAÑO SEVERO EN RED DE DATOS ......................................... 77
Procedimiento de Recuperación ................................................................................... 77
Procedimiento de Operación Alterna .......................................................................... 77
Procedimiento de Restauración .................................................................................... 77
4.3.4.2 Riesgo 2: INFECCIÓN GENERAL DE VIRUS ............................................. 78
Procedimiento de Recuperación ................................................................................... 78
Procedimiento de Operación Alterna .......................................................................... 79
Procedimiento de Restauración .................................................................................... 79
4.3.4.3 Riesgo 3: DESASTRE GENERAL QUE IMPIDA EL USO NORMAL DE INSTALACIONES DEL CENTRO DE CÓMPUTO ............................................... 80
Procedimiento de Recuperación ................................................................................... 80
Procedimiento de Operación Alterna .......................................................................... 81
Procedimiento de Restauración .................................................................................... 81
4.3.4.4 Riesgo 4: DAÑO IRRECUPERABLE EN HARDWARE O SOFTWARE DE SERVIDOR DE PRODUCCIÓN DE BASE DE DATOS ........................................ 83
-
Procedimiento de Recuperación................................................................................... 83
Procedimiento de Operación Alterna .......................................................................... 83
Procedimiento de Restauración ................................................................................... 84
4.3.5 Conclusiones y Recomendaciones ................................................................................. 85
REFERENCIAS .......................................................................................................................... 86
ANEXOS ..................................................................................................................................... 89
Listado de Especialistas ........................................................................................................... 91
-
ÍNDICE DE TABLAS
Tabla 1 - Servicios financieros con cargo básico ................................................................. 42
Tabla 2 - - Servicios financieros con cargo máximo ........................................................... 43
Tabla 3 - - Servicios financieros con cargo diferenciado .................................................... 44
Tabla 4 - Cuestionario tipo encuesta de actividades ilícitas utilizando las TICs en las
Instituciones bancarias dirigida a Clientes/Usuarios de la Banca ......................................... 52
Tabla 5 - Cuestionario de conocimientos sobre actividades ilícitas utilizando las TICs en las
Instituciones bancarias dirigida a Gerentes/Jefes de áreas informáticas, sistemas o de
Seguridad .............................................................................................................................. 54
Tabla 6 - Cuestionario de conocimientos sobre actividades ilícitas utilizando las TICs en las
Instituciones bancarias dirigida a Abogados especialistas en delitos informáticos .............. 57
Tabla 7- Clientes de bancas .................................................................................................. 60
Tabla 8 - Transacciones electrónicas .................................................................................... 61
Tabla 9 - Medio utilizado ..................................................................................................... 62
Tabla 10 - Afectado por ilícitos ............................................................................................ 63
Tabla 11 - Soluciones a ilícitos ............................................................................................. 64
Tabla 12 - Seguridad bancaria .............................................................................................. 65
Tabla 13 - Denuncias ............................................................................................................ 66
Tabla 14 - Soluciones a denuncias ........................................................................................ 67
Tabla 15 - Seguridad transaccional ....................................................................................... 68
Tabla 16 - Gestión de Administración de Justicia ................................................................ 69
-
ÍNDICE DE ILUSTRACIONES
Ilustración 1 - Casos de Phishing a nivel mundial 2005-2018 ............................................... 9
Ilustración 2 - Comportamiento Phishing 2005-2018 ............................................................ 9
Ilustración 3 - Composición de un número de tarjeta bancaria ............................................ 11
Ilustración 4 - Ejemplos de numeros BIN ............................................................................ 11
Ilustración 5 - Técnica Rounding Down ............................................................................... 12
Ilustración 6 - Como funciona el Skimming ........................................................................ 14
Ilustración 7 Estadísticas ransomware Latinoamérica 2018.............................................. 15
Ilustración 8 - Ejemplo de ataque MITM ............................................................................. 18
Ilustración 9 - Contactless, riesgos y mitos .......................................................................... 21
Ilustración 10 - Tipos de Keylogger Serial/USB .................................................................. 19
Ilustración 11 - Fichero creado por un Keylogger ................................................................ 19
Ilustración 12 - Teclado Virtual IESS .................................................................................. 20
Ilustración 13 - Normativas aplicables al delito informático en el Ecuador ......................... 24
Ilustración 14 - Los delitos informáticos FGE ..................................................................... 30
Ilustración 15 - Superintendencia de Bancos ....................................................................... 32
Ilustración 16 - Servicio de rentas Internas ......................................................................... 33
Ilustración 17 - Composición del Sector Financiero Ecuatoriano ........................................ 41
Ilustración 18 - Productos y Servicios Banca Virtual, Banco de Guayaquil ........................ 45
Ilustración 19 - App Banca Móvil Banco Pichincha ............................................................ 46
Ilustración 20 - Opciones Banca Virtual Banco de Guayaquil ............................................. 46
Ilustración 21 - Contactless .................................................................................................. 48
Ilustración 22 - Clientes de banca......................................................................................... 60
-
Ilustración 23 - Transacciones electrónicas .......................................................................... 61
Ilustración 24 - Medio utilizado ........................................................................................... 62
Ilustración 25 - Afectados por ilícitos .................................................................................. 63
Ilustración 26 - Soluciones a ilícitos..................................................................................... 64
Ilustración 27 - Seguridad bancaria ...................................................................................... 65
Ilustración 28 - Denuncias .................................................................................................... 66
Ilustración 29 - Soluciones a denuncias ............................................................................... 67
Ilustración 30 - Seguridad Transaccional ............................................................................. 68
Ilustración 31 - Gestión de Administración de Justicia ........................................................ 69
-
1
CAPÍTULO I
PLANTEAMIENTODEL PROBLEMA
1.1 Antecedentes del problema
Las instituciones bancarias se han visto profundamente transformadas con la
aparición de las nuevas tecnologías de la información y las comunicaciones (TICs). Casi en
la totalidad de las industrias y los negocios las tecnologías de información son
prácticamente indispensables y el tráfico transaccional de las organizaciones ha aumentado
considerablemente generando de la misma manera inconvenientes en el control de las
actividades realizadas en estas plataformas.
El medio electrónico en las instituciones bancarias se ha vuelto una herramienta
muy utilizada para el servicio de sus clientes y por ende se ha convertido en un blanco para
cometer diferentes actos ilegales tales como extorsión, robo, fraude, suplantación de
identidad, entre otros.
La delincuencia informática en el ámbito financiero bancario es difícil de
comprender o conceptualizar plenamente e implica la utilización de tecnologías para la
comisión del delito; así como controles desde el punto de vista técnico-informático que se
ajusten a las normativas nacionales. El ambiente virtual e intangible de esta forma de delito,
origina confusión al momento efectuarse su tipificación y al realizar las investigaciones por
parte de la Policía Nacional; de igual manera los jueces y fiscales, tienen poco
conocimiento y experiencia en el manejo de esta área del Derecho Informático.
Según las estadísticas del mes de Julio del 2018, de la Superintendencia de
Telecomunicaciones en Ecuador, hay alrededor de 3´529.713 usuarios de Internet, de los
cuales según la Superintendencia de Bancos un 50% realizan transacciones de algún tipo en
portales de instituciones bancarias, los cuales corren un alto riesgo de ser perjudicados
-
2
mediante actos delictivos como estafa, un ataque de phishing u otros, relacionados con las
tecnologías; al existir gran cantidad de tráfico transaccional es propensa a ser atacada o a
sufrir fallos durante la ejecución de una petición en general.
Los bancos son las víctimas preferidas de los ataques informáticos. En el Ecuador se
observa que el avance de la modalidad banca virtual es progresivo, debido entre otros
factores a la desconfianza del público. Desde hace varios años, los bancos en el país
ofrecen transacciones por Internet, lo cual los hacen más competitivos, favoreciendo al
cliente y a la institución bancaria.
De ese modo, las transacciones son más económicas en Internet que por ventanilla,
el horario de atención pasa de 8 horas diarias, a 24 horas durante los 365 días del año, de
esta manera se optimiza tiempo y dinero, además de la comodidad a sus clientes, quienes
pueden realizar operaciones desde su casa u oficina sin necesidad de largas filas.
1.2 Planteamiento del problema
La investigación y análisis de la delincuencia informática a través de las TICS, no es
una tarea fácil, ya que la mayoría de los datos probatorios son intangibles y transitorios.
Los investigadores de delitos cibernéticos buscan vestigios digitales que de acuerdo a sus
características suelen ser volátiles y de vida corta. Es preciso considerar que el internet
brinda grandes beneficios a los usuarios de la banca, pero su fácil acceso también podría
perjudicarlos.
La gestión transaccional en el mundo de la banca virtual es tan peligrosa como en el
mundo físico ya que en muchas ocasiones el usuario siente más confianza al navegar desde
casa sin darnos cuenta de que estamos abriendo las puertas a diferentes actividades ilícitas.
-
3
Muchos de estos delitos pueden ser prevenidos por el usuario cambiando hábitos al
momento de navegar por internet, protegiendo nuestros dispositivos electrónicos; y del lado
de las instituciones con la utilización de controles y normativas que sean aplicadas por los
entes reguladores. En estos casos cabe la prevención de parte del usuario-cliente y de las
instituciones financieras.
Es imprescindible que el sector bancario elabore y profundice en los requerimientos
necesarios para la prevención de posibles actividades ilícitas en las instituciones bancarias
con la utilización de las TICS.
Así mismo es muy importante que el estado asuma y adopte medidas necesarias,
para fijar los delitos del crimen informático, ya que el derecho penal tiene una finalidad
preventiva, y al tipificarlos, se evitaría que se cometa dichos delitos.
Una tipificación de un delito, tiene que ver con la descripción de actos ilegales que
puedes ser por acción u omisión, que son considerados como delitos. Suele afirmarse que
un acto es típico cuando encuadra o encaja en un tipo penal; si un acto encaja en lo
tipificado como delito, se considerar como tal.
La tipificación de los delitos informáticos es muy importante, ya que se ha
evidenciado que, si no están establecidas dentro del marco normativo, sea dentro del
Código Penal o en una ley especial, las conductas ilegales no podrán ser objeto de sanción,
conforme a la vigencia del principio de legalidad.
1.3 Sistematización del problema
1. ¿Qué es el delito informático?
2. ¿Es posible prevenirlos delitos informáticos por las instituciones
bancarias?
-
4
3. ¿Cuáles son los beneficios de la prevención de los delitos
informáticos en las instituciones bancarias?
4. ¿Genera costos la prevención de los delitos informáticos en las
instituciones bancarias?
5. ¿Por qué es importante la prevención de los delitos informáticos en
las instituciones bancarias?
1.3.1 Planteamiento de las hipótesis
La caracterización de los delitos informáticos mediante el análisis de su taxonomía
facilitará un mayor control y seguridad en las transacciones del sistema en las instituciones
bancarias fomentando un ambiente de seguridad de la información.
1.3.2 Objetivo general
Caracterizar los delitos informáticos mediante el análisis de la taxonomía en las
instituciones bancarias.
1.3.3 Objetivos específicos
Identificar las falencias en el ámbito de las transacciones electrónicas
en las instituciones bancarias en el Ecuador.
-
5
Plantear mejoras que se puedan incluir en la normativa existente para
el ámbito de las transacciones electrónicas en las instituciones bancarias en el
Ecuador.
Proponer cambios relevantes en las instituciones bancarias en el
Ecuador como medida de prevención ante los delitos informáticos.
1.3.4 Justificación de la investigación
La problemática en las instituciones financieras a nivel nacional es el
desconocimiento en el ámbito informático y tecnológico por parte los administradores de
justicia, donde existen diversos delitos, y no hay la información necesaria para
diagnosticarlos y por ende tampoco una sanción respectiva para estos.
Es indispensable para las instituciones bancarias que integren en su equipo de
colaboradores profesionales en seguridad informática que tengan conocimiento de las
amenazas existentes, para que puedan analizar debidamente este tipo de delitos y proteger
los sistemas y usos por parte del usuario final.
Como iniciativa de parte de las instituciones financieras en el marco de la
criminalidad informática necesitan tener:
Capacidad de diferenciar los delitos informáticos del resto y de
definir su tratamiento dentro del marco legal existente.
Tener especialistas académicos y no empíricos en el tratamiento de
los delitos informáticos.
Establecer medidas de protección de sus sistemas, así como
normativas para los usuarios finales.
-
6
Se justifica esta investigación ante la necesidad de que el sector bancario establezca
el contexto necesario técnico e informático legal para prevenir actividades ilícitas en las
instituciones bancarias con la utilización de las TICS; aplicando la prevención de parte de
las instituciones bancarias como de los usuarios.
1.3.5 Viabilidad del estudio
Este proceso de investigación se enfoca en la recopilación de información en base al
análisis de la taxonomía de los delitos informáticos en el sector bancario del Ecuador en el
período 2014-2019.
Como se ha establecido en este documento, la normativa ecuatoriana en el ámbito
informático-legal está en proceso de desarrollo al no existir legislación específica como una
ley de delitos informáticos; ni del ente regulador de las instituciones bancarias llámese
Superintendencia de Bancos en esta materia; sin embargo con la legislación del COIP
(Código Orgánico Integral Penal) desde el 2014 ya ha generado sentencias con resultados
acordes a la necesidad de la sociedad y que nos dan pautas para el estudio en las
instituciones bancarias que es uno de los sectores más vulnerables.
La investigación y el desarrollo de este trabajo se consideran viables gracias la
información publicada por la Superintendencia de Bancos, Fiscalía General del Estado, así
como de la Defensoría del Pueblo.
-
7
CAPÍTULO II
MARCO TEÓRICO
Para nuestro marco teórico comenzaremos detallando los tipos de delitos
informáticos más relevantes y conocidos en el sector bancario, indicaremos su modus
operandi, datos estadísticos y demás generalidades.
2.1 Delitos informáticos-bancarios
Según Marlon Altamirano, experto en ciberseguridad y CEO de NCSA, academia
duplicación o clonación de tarjetas (crédito y débito), el robo de identidad o suplantación de
identidad, uso de dispositivos para tratar de robar contraseñas bancarias y realizar ataques
financiero, es aquel que, con el propósito de obtener información privada, como claves de
cuentas bancarias, así como correos electrónicos, hacen llamadas a los clientes o envían
correos maliciosos. Asimismo, el robo de datos de propiedad intelectual, la clonación de
tarjetas, entre otros, infringen no solo a la entidad bancaria, sino también al cliente de la
entidad bancaria, pudiendo extraer los ahorros de toda una vida.
2.1.1 Fraude Bancario
Es la acción dolosa que provoca un perjuicio a un tercero, con la información
obtenida hacen traspasos bancarios, venden información y hasta extorsionar a los
propietarios de las claves.
-line, los autores del fraude, con las claves en su poder,
suelen abrir de modo simultáneo una cuenta bancaria a la que remiten el dinero
-
8
mediante transferencias on-line. Estas cuentas se situarán normalmente en
sucursales bancarias de terceros países a son de acceden para retirar el dinero. Para
ejecutar estafas de importantes partidas de dinero, los autores suelen fraccionar las
transferencias a diferentes entidades bancarias, aunque muy próximas
geográficamente, de manera que el cobro se pueda materializar en un breve espacio
2.1.2 Phishing
Es un término que indica un fraude informático, en el cual, mediante el uso de
ingeniería social (la cual se basa en reacciones humanas para engañar a usuarios), se intenta
obtener nombres de usuario, contraseñas, tarjeta de coordenadas, etc. de forma ilícita o
fraudulenta.
Daños Causados. Los principales daños provocados por el phishing son:
o Robo de identidad y datos confidenciales de los usuarios.
o Pérdidas económicas para los usuarios.
o Impedir el acceso a sus propias cuentas
o Pérdida de productividad
o Consumo de recursos de las redes corporativas (ancho de
banda, saturación del correo, etc.).
A continuación, se muestra una tabla resumida de mails falsos del 2005 al 2018 por parte
de la APWG (Anti-Phishing Working Group) y la fundación europea contra el ciberdelito:
-
9
Ilustración 1 - Casos de Phishing a nivel mundial 2005-2018
Fuente: Elaboración propia
Elaborado por: Julián Angulo y Mariana Córdova
Se puede verificar en la ilustración que a lo largo de los años el número de intentos
de fraudes por phishing ha aumentado considerablemente. En el 2005 solo hubo 173.000
casos, mientras que en el 2018 superó el millón. Sin embargo, gracias a campañas de
concienciación de las personas en contra de este delito se denota una disminución desde el
año 2016.
Ilustración 2 - Comportamiento Phishing 2005-2018
Fuente: Elaboración propia
Elaborado por: Julián Angulo y Mariana Córdova
-
10
l, es
más probable que la gente haga clic en ese enlace y se descargue algún tipo de virus.
Cuando hay temas de interés, sea a nivel mundial, sea a nivel regional, se puede apreciar
una variabilidad en la frecuencia de ataques. Sí hay temas que provocan mayor tráfico por
phisher
países en que las leyes les permite salir impune. Para llevar a cabo este método se utiliza
aplicaciones y paginas falsas, mails o el envío de mensajes por redes sociales.
2.1.3 Ataque BIN
El termino BIN se refiere a la secuencia de los 6 primeros números en las tarjetas de
crédito, con este se realiza una nueva modalidad de delito informático-bancario, muy
popular en América del Sur y en México.
Es necesario tener esta secuencia y la fecha de expiración para realizar la estafa.
Se pueden usar más números para generar números válidos.
Por ejemplo, un número BIN podría ser:
1234 5678 XXXX 5432
-
11
Ilustración 3 - Composición de un número de tarjeta bancaria
Fuente: Blog Marc Rabadan (02/08/2016)
Elaborado por: Julián Angulo y Mariana Córdova
El primer paso es generar muchos números validos a partir del BIN de una tarjeta
propia o robada, esto se lo puede realizar ya que no son totalmente aleatorios.
Ilustración 4 - Ejemplos de números BIN
Fuente: https://www.bankbinlist.com/bin-list-ecuador.html?hl=es Elaborado por: Julián Angulo y Mariana Córdova
Luego se prueban estos números generados con transacciones menores de $10.00,
para lo cual se usa la misma fecha de caducidad ya que las tarjetas con secuencia parecida
generalmente tienen la misma fecha.
https://www.bankbinlist.com/bin-list-ecuador.html?hl=es
-
12
Por último, los números exitosos en las transacciones se los utiliza en sitios de venta
por internet que no soliciten el código de seguridad de la tarjeta; cuando el banco se entera
del fraude devuelve el valor de la transacción a sus clientes, y los vendedores cargan con el
costo de este al no haber tomado medidas necesarias.
2.1.4 Rounding Down o Técnica del Salami
Esta técnica consiste en el desvió de pequeñas cantidades de dinero de cuentas con
montos altos, al igual que un salami al cortarlo en rodajas muy pequeñas, este no sufre una
reducción considerable y así esta acción pasa completamente inadvertida, generalmente se
atacan equipos Unix los cuales se utilizan para operaciones financieras.
Los programas denominados Salami son muy difíciles de detectar, estos podrían
salir a la luz con una auditoria extremadamente minuciosa y compleja.
Ilustración 5 - Técnica Rounding Down
Fuente: Elaboración propia
Elaborado por: Julián Angulo y Mariana Córdova
Un caso muy común se dio en EEUU, entre los años 2006 y 2010 delincuentes
cibernéticos realizaron 1.35 millones de cargos fraudulentos, de los cuales tan solo 79.000
usuarios lograron darse cuenta; este dinero se cargaba en las tarjetas de compañías falsas y
-
13
se redirigían a cuentas creadas en el extranjero; los valores fluctuaban de $0.25 ctvs. a
$9.00 dólares; debido a estos pequeños montos el fraude se realizó durante 4 años seguidos
logrando pasar inadvertidos.
En esta técnica se utilizan programas de redondeo hacia abajo (rounding down), los
cuales aprovechan los cálculos en el sistema bancario para obtener dinero de muy baja
denominación; ejemplo, se coloca $35.50 en una cuenta con interés fijo del 7.15%, el
rendimiento anual seria $253.825, el roundingdown redondea a $253.82, y el $0.005
restante se acumula en cuentas hasta que se alcancen montos muy altos para que el
delincuente aproveche la situación.
Si suponemos que se realizan millones de estos redondeos diariamente nos daremos
cuenta del valor que se acumularía al final en poco tiempo.
2.1.5 Skimming o clonación de tarjetas
Este método consiste en la duplicación de tarjetas para su posterior uso delictivo, se
presentan en cajeros automáticos modificados, gasolineras, restaurantes, bares en los cuales
los dueños se prestan para proveer de esta información obtenida a los ciberdelincuentes.
Al realizar una compra se capturan los datos almacenados en las bandas magnéticas
por medio de un dispositivo llamado skimmer colocado generalmente en el mecanismo de
deslizamiento de los lectores de tarjetas, estos datos son: fecha de expiración, número de
tarjeta, nombre del titular y el CVV (número de seguridad que aparece en el reverso de las
tarjetas).
Con estos datos se realizan compras por internet o se falsifican tarjetas de crédito
para su uso indebido.
-
14
Algunos skimmers viene acompañados de una cámara diminuta para capturar el
ingreso del numero PIN.
En la ilustración se observa un cajero alterado para la clonación de tarjetas y las
formas de detectar esta modificación.
Ilustración 6 - Como funciona el Skimming
Fuente: Elaboración propia
Elaborado por: Julián Angulo y Mariana Córdova
2.1.6 Ransonware
Es un tipo de software dañino que bloquea el sistema de acceso de la víctima y
encripta los ficheros hasta que se le entregue dinero o datos al atacante; este software solo
puede ser desbloqueado por expertos en seguridad informática y recuperación de datos.
Normalmente este software ataca a organizaciones con información relevante,
aparece visitando un sitio web infectado, o incrustado en un documento adjunto de un
correo electrónico el cual contiene un troyano. Es la principal amenaza para la seguridad
-
15
informática en los últimos años ya que sus réditos se colocan en cientos de miles de
dólares.
El 'ransomware' tiene muchas variantes, una de ellas utilizadas por ladrones de datos
son los 'banners' maliciosos, de manera que en este caso cualquier persona puede ser
víctima y no solo los jugadores de los casinos online.
Los ataques de ransomware más grandes y nocivos que hubo en el año 2018 fueron
los de WannaCry y NotPetya, que afectaron a decenas de miles de computadores en más de
100 países.
Ecuador en el 2018 fue el país latinoamericano más afectado por el 'malware', según
datos extraídos del informe Eset Security Report, que destaca que tanto Ecuador como
Venezuela fueron los países más infectados por códigos maliciosos, alcanzando
conjuntamente un 22% en contraste con el 13% de El Salvador.
Ilustración 7 Estadísticas ransomware Latinoamérica 2018
Fuente: Eset Security Report 2018
Elaborado por: Julián Angulo y Mariana Córdova
https://www.welivesecurity.com/la-es/2018/06/19/eset-security-report-2018-el-estado-de-la-seguridad-de-la-informacion-en-las-empresas-de-la-region/
-
16
A pesar del dramático éxito que está experimentando actualmente el ransomware,
acerca del cuál conocimos datos relativos a Ecuador, la variedad de ataques que
experimentan los usuarios y empresas ecuatorianas es bastante amplia. Sin embargo, uno
destaca de entre todos: el phishing. Para el público en general, se especifica un tipo
concreto: el phishing con fraude: «Es consistente con las motivaciones de los hackers.
Finalmente, la gran mayoría de actividad de hackers tiene que ver con un interés económico
que se capitaliza por medio del fraude. Otros motivantes como el hacktivismo, motivos
políticos y sociales, tienen cierta incidencia, pero no es comparable el volumen de actividad
que se ve en uno versus el otro». (Salazar, 2018).
Según una investigación realizada por la NTT Security indico que los secuestros de
información o ransomware se incrementó en un 350% en el 2018 en relación al año
anterior.
2.1.7 Bombas lógicas
Es una especie de bomba de tiempo que debe producir daños posteriormente. Exige
conocimientos especializados ya que requiere la programación de la destrucción o
modificación de datos en un momento dado del futuro. Ahora bien, al contrario de los virus
o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso,
de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el
máximo potencial de daño. (pino, 2005)
Su detonación puede programarse para que cause el máximo de daño y para que
tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba
lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate
a cambio de dar a conocer el lugar en donde se halla la bomba. (pino, 2005)
-
17
Las bombas lógicas son colocadas generalmente en el sistema informático a través
del método de Caballo de Troya. (pino, 2005)
or informático y se activan solo con
un comando específico como la fecha, números y entre otros. Con la finalidad de destruir o
2.1.8 Ataque Man-In-The-Middle
También es conocido como ataque de intermediario, este ataque lee, modifica
mensajes entre dos personas sin su conocimiento; este fraude roba información del usuario
como por ejemplo los datos al realizar una compra online.
Este ataque incluye subataques como: interceptación de la comunicación, ataque de
denegación de servicios, ataque de sustitución y ataque de repetición; y generalmente
emplea 4 técnicas específicas:
ARP Spoofing: se realiza directo en las redes ethernet, captura el tráfico en las LAN
aplicándole una denegación de servicio y modifica la ARP, la cual es responsable de
encontrar la MAC de una IP.
Port Stealing: en esta técnica se envían muchos paquetes ethernet con la MAC de la
víctima como origen y la MAC de destino del atacante; de esta manera el switch se conecta
con él, le envía dichos paquetes, podrá leerlos, modificarlos y reenviarlos a la víctima.
DNS Spoofing: con esta técnica se modifica la cache o se realiza un ID Spoofing
para enviar respuestas falsas a solicitudes de DNS de la víctima.
DHCP Spoofing: aquí el atacante envía información errónea a un dispositivo en una
red, respondiéndole antes que el servidor de DHCP e indicándole que el dispositivo del
-
18
atacante es la puerta de enlace (Gateway); para así asignarle una dirección IP y lograr
conectarse con la victima
Ilustración 8 - Ejemplo de ataque MITM
Fuente: iplocation.net/man-in-the-middle 11/09/2017
Elaborado por: Julián Angulo y Mariana Córdova
2.1.9 Keylogger
Normalmente los Keylogger son usados como medidas de supervisión, por ejemplo,
en las empresas se puede controlar el acceso a internet de los empleados, o en una familia
los padres controlar lo que los hijos realizan en internet. Pero a su vez esta tecnología ha
sido usada para realizar ataques donde se utilizan dispositivos (USB o seriales) o programas
fáciles de adquirir que se instalan de manera sencilla en computadores o dispositivos
móviles y sirven para almacenar en un archivo todo lo que el usuario digite, por ejemplo,
claves, contraseñas, números de tarjetas de crédito, etc.
-
19
Ilustración 9 - Tipos de Keylogger Serial/USB
Fuente: Google Imágenes
Elaborado por: Julián Angulo y Mariana Córdova
El tamaño y peso de estos archivos son similares a los de un documento .txt y es
frecuente que se adjunten en falsos correos con el nombre de instituciones bancarias que
solicitan una instalación de algún ejecutable, esto permite el monitoreo de la acción del
teclado de la víctima.
Ilustración 10 - Fichero creado por un Keylogger
Fuente: Google Imágenes
Elaborado por: Julián Angulo y Mariana Córdova
La página de seguro social cuenta con un teclado virtual como medida de protección
de estos fraudes como vemos en la imagen:
-
20
Fuente: Portal Web IESS
Ilustración 11 - Teclado Virtual IESS
Elaborado por: Julián Angulo y Mariana Córdova
2.1.10 Ataques a tecnología Contactless
Se especula que la utilización de esta tecnología puede conllevar a ser objeto de un
tipo de robo por parte de los llamados cibercarteristas, los cuales aprovecharían las
aglomeraciones de personas para acercar un dispositivo (datafono) a los bolsillos o carteras
y cometer delitos como robo de dinero, información o clonación de tarjetas (Skimming).
Pero según investigamos en ciertos artículos se toman estas especulaciones como
simplemente eso; según un artículo de la BBC, Miguel Herrero y Ricardo Rodríguez
especialistas en informática afirman que:
La tarjeta debe estar muy cerca de los delincuentes y que esta no se
moviera en ningún momento
La comunicación es muy sensible a movimientos y se corta la
transmisión rápidamente.
-
21
Al inicio se incluía el nombre del titular en el chip, pero por
seguridad se mantiene solo impreso en la tarjeta, con esto el fraude de robo de datos
se vuelve más complicado.
Ilustración 12 - Contactless, riesgos y mitos
Fuente: El Universo Doctor Tecno 07/06/2019
Elaborado por: Julián Angulo y Mariana Córdova
2.2 Campos de estudio
Ahora para enmarcar los conceptos teóricos de este trabajo, distinguiremos 3
campos de estudio en los que se consideraran diferentes aspectos:
Los Aspectos legales
Los Aspectos técnicos
Y de los Servicios Financieros en las entidades bancarias
A continuación, describiremos cada uno de estos aspectos:
2.2.1 Aspectos Legales
2.2.1.1 Que es la tipificación de un Delito?
Para responder esta pregunta primero veamos un concepto de delito:
Según Eugenio antijurídica,
típica, culpable
http://www.enciclopedia-juridica.biz14.com/d/culpable/culpable.htm
-
22
El problema está en definir y entender cada uno de estos elementos, pues para que
exista delito deben estar presentes los tres.
Empecemos por el final, la culpabilidad es la intención subjetiva de una persona
que lo lleva a cometer una determinada acción. La antijurícidad implica que dicha acción
debe ir contra del ordenamiento jurídico, es decir, contra lo marcado como aceptable por las
normas del Derecho. Y, la tipicidad o tipificación se refiere a que esa acción debe
señalarse como prohibida o como delito en artículos de la norma que regule esa materia en
cada país (en Ecuador el Código Orgánico Integral Penal).
El progreso tecnológico que ha experimentado la sociedad, supondría una evolución
en la tipificación o tipicidad de los delitos informáticos considerando las nuevas formas de
infringir la ley. Esta situación ha motivado un debate en torno a la necesidad de diferenciar
o no los delitos informáticos del resto y de definir su tratamiento dentro del marco legal
correspondiente.
María de la Luz Lima, doctora mexicana experta en delitos cibernéticos y ciencias
criminógena o criminal que en su realización hace uso de la tecnología electrónica ya sea
icto, el delito informático, es
Julio Téllez Valdés, mexicano doctor en derecho informático, conceptualiza al
2016).
-
23
El Convenio de Cyber-delincuencia del Consejo de Europa, define a los delitos
disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso
Podemos notar en las definiciones establecidas en los párrafos anteriores que no
existe una definición de carácter universal de lo que es un delito informático, sin embargo,
debemos resaltar que han sido esfuerzos aislados de ciertos especialistas que han
profundizado en el tema pudiendo encasillar parte de los temas en esta área de la
criminalística.
Es preciso señalar que la última definición brindada por el convenio de cyber-
delincuencia del Consejo de Europa con respecto a delitos informáticos anota especial
cuidado en los pilares de la seguridad de la información: la confidencialidad, integridad y
disponibilidad.
El delito informático involucra acciones criminales que en primera instancia los
países han tratado de poner en figuras típicas, tales como: robo, fraudes, falsificaciones,
estafa, sabotaje, entre otros, por ello, es primordial mencionar que el uso indebido de las
computadoras es lo que ha creado la necesidad imperante de establecer regulaciones por
parte de la legislación.
-
24
2.2.1.2 Normativas aplicables al delito informático en el Ecuador
Ilustración 13 - Normativas aplicables al delito informático en el Ecuador
Fuente: Elaboración propia
Elaborado por: Julián Angulo y Mariana Córdova
2.2.1.3 Ley Orgánica de Instituciones del Sistema Financiero.
Esta Ley regula la creación, organización, actividades, funcionamiento y extinción
de las instituciones del sistema financiero privado, así como la organización y funciones de
la Superintendencia de Bancos, entidad encargada de la supervisión y control del sistema
financiero, en todo lo cual se tiene presente la protección de los intereses del público.
(Nacional, Ley Orgánica de Instituciones del Sistema Financiero, 2014).
Las instituciones financieras bancarias, las compañías de seguros y de reaseguros se
rigen por sus propias leyes en lo relativo a su creación, actividades, funcionamiento y
organización. Se someterán a esta Ley en lo relacionado a la aplicación de normas de
solvencia y prudencia financiera y al control y vigilancia que realizará la Superintendencia
dentro del marco legal que regula a estas instituciones en todo cuanto fuere aplicable según
su naturaleza jurídica. La Superintendencia aplicará las normas que esta Ley contiene sobre
-
25
liquidación forzosa, cuando existan causales que así lo ameriten. (Nacional, Ley Orgánica
de Instituciones del Sistema Financiero, 2014)
2.2.1.4 Ley Orgánica de Transparencia y Acceso a la Información Bancaria.
La ley establece que todas las instituciones del sector público pongan a disposición
de la ciudadanía, el libre acceso a la información institucional (estructura orgánica, bases
legales, regulaciones, metas, objetivos, presupuestos, resultados de auditorías, etc.), a través
de sus sitios web, bajo este mismo contexto las disposiciones contenidas en la Constitución
Política del Ecuador vigente, en su capítulo tercero de las Garantías Jurisdiccionales de sus
secciones cuarta y quinta de los Art. 91 y 92 sobre la acción de acceso a la información
bancaria y acción de Habeas Data, también se establece dichas garantías. (Nacional, Ley
Orgánica de Transparencia y Acceso a la Información Pública, 2004).
2.2.1.5 Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos
La Ley contiene los principios jurídicos que regirán las transmisiones de los
mensajes de datos. Se le concede pleno valor y eficacia jurídica a los mensajes de datos,
tanto a su información como a su contenido general; la interpretación de la Ley y el
ejercicio de la Propiedad Intelectual se rigen por la legislación ecuatoriana y por los
tratados internacionales incorporados al cuerpo legal ecuatoriano. (Nacional, Ley de
Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, 2002).
Se protege la confidencialidad de los mensajes de datos en sus diversas formas,
señalando lo que se entenderá por tal concepto y su violación. Se equipara el documento
escrito con el documento electrónico para el caso en que se requiera la presentación de un
documento escrito, procediendo de igual manera con el documento original y la
-
26
información contenida en él, siempre y cuando exista garantía de su conservación
inalterable.(Nacional, Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de
Datos, 2002).
2.2.1.6 Ley de Propiedad Intelectual (Código Ingenios).
El presente Código tiene por objeto normar el Sistema Nacional de Ciencia,
Tecnología, Innovación y Saberes Ancestrales previsto en la Constitución de la República
del Ecuador y su articulación principalmente con el Sistema Nacional de Educación, el
Sistema de Educación Superior y el Sistema Nacional de Cultura, con la finalidad de
establecer un marco legal en el que se estructure la economía social de los conocimientos,
la creatividad y la innovación. (Nacional, Código Orgánico de Economía Social del
Conocimiento e Innovación, 2016)
Las actividades relacionadas a la economía social de los conocimientos, la
creatividad y la innovación son aquellas enfocadas a la creación de valor a partir del uso
intensivo de la generación, transmisión, gestión y aprovechamiento del bien de interés
público conocimiento, que incluye los conocimientos tradicionales; promoviendo en todos
los sectores sociales y productivos la colaboración y potenciación de las capacidades
individuales y sociales, la democratización, distribución equitativa, y aprovechamiento
eficiente de los recursos en armonía con la naturaleza, dirigido a la obtención del buen
vivir. (Nacional, Código Orgánico de Economía Social del Conocimiento e Innovación,
2016).
-
27
2.2.1.7 Ley de Habeas Data.
Esta herramienta procesal es efectiva, únicamente cuando existe una trasgresión o
amenaza contra la privacidad.
La información computarizada de carácter personal y privado contenida en las bases
telemáticos, lesionando el derecho de la intimidad tratándose de personas naturales y el
derecho a la confidencialidad tratándose de personas jurídicas. Ante esta realidad el
Derecho ha examinado mecanismos que permitan proteger jurídicamente de manera
eficiente la información de carácter privado, uno de estos mecanismos es el Habeas
Data.(Ormaza, 2015)
Como bien hemos anotado, el espíritu del Hábeas Data está orientado a evitar que se
afecte la intimidad de las personas; sin embargo, el artículo 36 de la Ley de Control
Constitucional hace mención a cláusulas especiales que debe tener en cuenta el juez al
momento de resolver un Hábeas Data, y que desde luego son factores determinantes para
declarar la improcedencia de su accionar,
a) Que los documentos, banco de datos e informes se relacionen
directamente con la persona, es decir, que involucre su intimidad; y, la otra, que
verse sobre sus bienes, esto supone el ánimo del señor y dueño existente sobre el
bien.
b) Otra condición que debe concurrir es aquella consistente en que la
información debe constar ya sea en entidades bancarias, o bien, en las privadas. El
objetivo es conocer que va a suceder con esa información.(Ormaza, 2015)
-
28
En conclusión, no procede esta acción cuando se afecta el sigilo profesional; se
pueda obstruir la acción de la justicia; o bien, cuando la información requerida sea
considerada secreta por razones de seguridad nacional.
En suma, el Hábeas Data, no es un recurso, es una acción, que tiene como elemento
principal la intervención del juez.(Ormaza, 2015)
2.2.1.8 Código Orgánico Integral Penal.
Este Código tiene como finalidad normar el poder punitivo del Estado, tipificar las
infracciones penales, establecer el procedimiento para el juzgamiento de las personas con
estricta observancia del debido proceso, promover la rehabilitación social de las personas
sentenciadas y la reparación integral de las víctimas. (Nacional, Código Orgánico Integral
Penal, 2014).
En relación al impacto en el sistema judicial de las tecnologías de la información, se
ha elaborado dentro del COIP 6 normativas que pretenden solucionar o mitigar en algo la
falta de efectividad de la Administración de Justicia en función de estos delitos
electrónicos.
Incorpora una serie de infracciones delictivas, que se encuentran tipificadas y
sancionan de acuerdo a cada tipo penal, entre las que podríamos asociar con el sistema
bancario tenemos:
C.O.I.P. Art. 186.- Estafa. 5 a 7 años
C.O.I.P. Art. 190.- Apropiación fraudulenta por medios electrónicos. - 1 a 3 años
C.O.I.P. Art. 191.- Reprogramación o modificación de información de equipos
terminales móviles. - 1 a 3 años.
-
29
C.O.I.P. Art. 193.- Reemplazo de identificación de terminales móviles. - 1 a 3
años.
C.O.I.P. Art. 229.- Revelación ilegal de base de datos. - 1 a 3 años.
C.O.I.P. Art. 230.- Interceptación ilegal de datos. - 3 a 5 años.
C.O.I.P. Art. 231.- Transferencia electrónica de activo patrimonial. - 3 a 5 años.
C.O.I.P. Art. 232.- Ataque a la integridad de sistemas informáticos. - 3 a 5 años.
C.O.I.P. Art. 233.- Delitos contra la información bancaria reservada legalmente. - 5
a 7 años.
C.O.I.P. Art. 234.- Acceso no consentido a un sistema informático, telemático o de
telecomunicaciones. - 3 a 5 años.
Uno de los principales inconvenientes que se considera en un delito informático es
la obtención de la prueba para que sirva como un medio de juzgamiento dada la falta de
conocimiento y herramientas para obtenerlas en un proceso.
Internet abrió el paso a esas nuevas formas de delincuencia común y organizada que
pone en riesgo la información privada, la seguridad en la navegación y de las instituciones
bancarias y privadas.(Estado, 2019).
La Dirección de Política Criminal de la Fiscalía General del Estado registró 221
denuncias por delitos informáticos desde el 1 de Enero del 2019.(Estado, 2019).
-
30
Ilustración 14 - Los delitos informáticos FGE
Fuente: Fiscalía General del Estado
Tomado por: Julián Angulo y Mariana Córdova
2.2.1.9 Delitos financieros-bancarios
Los delitos más comunes en el ámbito bancario son los siguientes:
Falsificación En un negocio, la falsificación tiene lugar cuando un
empleado expide un cheque sin la adecuada autorización, lo endosa y lo presenta
para el pago de una compra local o para cobrarlo en la ventanilla de un banco,
utilizando probablemente una falsa identificación personal.
También puede comprender la fabricación completa de un cheque usando
equipo de impresión que incluya un computador, scanner, software sofisticado y
una impresora láser de alto grado.
-
31
Alteración La alteración se refiere al uso de químicos tales como
acetona, líquido de frenos y removedor de manchas o modificando la escritura a
mano y la información del cheque. Cuando se realiza en lugares específicos en el
totalidad
d
Robo de cheques Esto puede acontecer mediante la búsqueda de
cheques en el correo, o mediante la invasión en una casa o negocio, en el lugar en
donde se guardan los cheques.
Lavado de dinero Se refiere a dinero que se obtiene por actividades
ilegales y que necesita ser incorporado al sistema bancario de manera que pueda ser
movilizado eficientemente de un lugar a otro y guardado en forma segura. Se ha
para
Fraudes con Cuentas Nuevas Estas cuentas se abren fácilmente ya
que como los bancos están ansiosos de tener más clientes, los documentos pueden
ser falsificados con mucha facilidad; los altos costos de investigar la confiabilidad
de estas cuentas contribuyen a facilitar que se lleve a cabo este fraude. Al ser abierta
una nueva cuenta se establece un bajo perfil de riesgo de esta actividad, y se puede
llevar a cabo una amplia variedad de fraudes.
Malversación de fondos Las cuentas de un banco pueden ser
atacadas por cualquier persona que tenga un fácil acceso a ellas, existen
malversaciones en la banca bancaria y privada.
-
32
2.2.1.10 Características de dos delitos financieros
1. Son delitos no violentos que dan lugar a pérdidas económicas.
2. Son complicados a raíz de los adelantos rápidos en la tecnología.
3. Generalmente no son denunciados, ya que las instituciones optan por resolver
los incidentes internamente.
4. Existe la percepción de que se encuentran entre los delitos de más rápido
conocimiento.
5. Producen pérdida de credibilidad de las instituciones.
6. Su complejidad dificulta la tipificación de las conductas delictivas.
2.2.1.11 Entes reguladores de las Instituciones Bancarias en en el Ecuador
2.2.1.11.1 Superintendencia de Bancos
Ilustración 15 - Superintendencia de Bancos
Fuente: Sitio Web Servicio de Rentas Internas
Tomado por: Julián Angulo y Mariana Córdova
-
33
El 6 de Septiembre de 1927, se estableció la supervisión de las operaciones
bancarias mediante la creación de la SUPERINTENDENCIA DE BANCOS, bajo
inspiración de la Misión Kemmerer (1925 1927), llamada así porque la presidió el doctor
Edwin Walter Kemmerer, la cual produjo en el país una verdadera transformación en el
ramo bancario y financiero al expedir leyes como: La Ley Orgánica de Bancos, la Ley
Orgánica del Banco Hipotecario (Banco Nacional de Fomento) y la Ley Orgánica del
Banco Central, que afianzaron el sistema financiero del país, así como otras leyes que
regularon el manejo de la Hacienda Bancaria.
La misión general de esta institución es de supervisar y controlar las actividades que
ejercen las entidades financieras y de seguridad social, bancarias y privadas, con el
propósito de proteger los intereses de la ciudadanía y fortalecer los sistemas
2.2.1.11.2 Servicio de Rentas Internas
Ilustración 16 - Servicio de rentas Internas
Fuente: Sitio Web Servicio de Rentas Internas
Tomado por: Julián Angulo y Mariana Córdova
-
34
El Servicio de Rentas Internas nació el 2 de diciembre de 1997 basándose en los
principios de justicia y equidad, como respuesta a la alta evasión tributaria, alimentada por
la ausencia casi total de cultura tributaria. Desde su creación se ha destacado por ser una
institución independiente en la definición de políticas y estrategias de gestión que han
permitido que se maneje con equilibrio, transparencia y firmeza en la toma de decisiones,
aplicando de manera transparente tanto sus políticas como la legislación tributaria.(Internas,
2017)
Durante los últimos años se evidencia un enorme incremento en la recaudación de
impuestos a través de las instituciones bancarias. Entre los años 2012 y 2016 la recaudación
fue de 11.995 millones; mientras que en el período comprendido entre 2016 y 2018 la
recaudación se triplicó, superando 35.000 millones de dólares. La cifra alcanzada por el
SRI no se debe a reformas tributarias sino a la eficiencia en la gestión de la institución, a las
mejoras e implementación de sistemas de alta tecnología, desarrollo de productos
innovadores como la Facturación Electrónica, SRI móvil, servicios en línea, reducción de
costos indirectos a la ciudadanía y el afianzamiento de la cultura tributaria, además del
incremento significativo de transacciones electrónicas a través de las instituciones
bancarias.(Internas, 2017).
Según la Superintendencia de Bancos, el 76% de las transacciones que se realizaron
en instituciones financieras el 2018 se realizaron en canales electrónicos. Mientras que el
Banco Central informa que la tasa de crecimiento del uso de los medios de pago digitales
durante los últimos cinco años fue del 18%, pero entre 2017 y 2018 aumentó 33%.
De acuerdo a estos datos podemos denotar claramente como las
transacciones bancarias han aumentado en los últimos años. Sin embargo, a su vez esa
situación provoca riesgos, ya que dichas transacciones implican información personal como
-
35
La seguridad es esencial al momento de realizar transacciones bancarias
mediante el Internet, contar con un sitio web seguro y confiable es un elemento clave para
nformáticos necesariamente está revestida de un
procedimiento técnico, como interceptación de comunicaciones, peritajes para establecer
direcciones IP, para extraer información de memorias portátiles, para lo cual se requiere la
participación de expertos e
2016)
Es importante en toda institución bancaria contar con herramientas que garanticen la
correcta evaluación de los riesgos, y contar con procedimientos de control que pueda
evaluar el desempeño del entorno informático. (Alfonso, 2018).
2.2.2 Aspectos Técnicos
2.2.2.1 Seguridad Informática
El activo más importante en toda organización o institución es la información ya
que de ella depende el correcto funcionamiento de las actividades y procesos que se
realizan internamente en la institución, este grado de importancia aumenta
considerablemente si nos referimos a empresas con automatizaciones altamente calificadas.
Ante lo detallado anteriormente, la seguridad de la información sigue siendo el principal
factor de riesgo en las organizaciones ya que de esta depende su éxito o fracaso. (De la
Torre, 2018).
-
36
2.2.2.2 Conceptos básicos de Seguridad Informática
La seguridad informática contiene varios conceptos entre los cuales citaremos los
principales:
Integridad
Determinar si los datos han sido alterados durante una transmisión (accidental o
intencionalmente).
Confidencialidad
Asegurar que sólo los individuos autorizados tengan acceso a los recursos que se
intercambian, y que la información sea incomprensible para aquellos individuos ajenos o
que no estén involucrados en la operación.
Disponibilidad
Consiste en garantizar el correcto funcionamiento de los sistemas de información y
el acceso constante a un servicio o a los recursos.
Política de Seguridad.
La seguridad en los sistemas informáticos debe garantizar el acceso a datos y
recursos del sistema configurando los mecanismos de autentificación y control que
aseguren que los usuarios sólo posean los permisos y privilegios que se les debe ser
otorgado.
-
37
Administración de seguridad
Los procesos en esta área aseguran que la institución bancaria esté adecuadamente
direccionada a establecer, mantener y monitorizar un sistema interno de seguridad, que
tenga políticas de administración con respecto a la integridad y confidencialidad de la
información de la institución bancaria, y a la reducción de fraudes a niveles aceptables.
(Barrionuevo, 2014).
Operaciones de red y computacionales
Los procesos en esta área aseguran que los sistemas de información y entornos de
red están operados en un esquema seguro y protegido, y que las responsabilidades de
procesamiento de información son ejecutadas por personal operativo definido, medido y
monitoreado. También aseguran que los sistemas son consistentes y están disponibles a
los usuarios a un nivel de ejecución satisfactorio. (Barrionuevo, 2014).
Administración de sistemas de bases de datos
Los procesos en esta área están diseñados para asegurar que las bases de datos
usados para soportar aplicaciones críticas y reportes tengan consistencia de definición,
correspondan con los requerimientos y reduzcan el potencial de redundancia.
(Barrionuevo, 2014).
Redes
En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento.
(Alfonso, 2018).
-
38
Inf ormación / Negocio
Los procesos en esta área están diseñados para asegurar que existe un plan
adecuado para asegurar que la tecnología informática estará disponible a los usuarios
cuando ellos la necesitan. (Barrionuevo, 2014).
Nivel físico
Protección física de dispositivos y un apropiado acceso a ellos. (Alfonso, 2018).
2.2.2.3 Opiniones de especialistas anónimos sobre seguridad en la banca.
Los responsables de la seguridad de los bancos sienten gran preocupación, aunque
sigue existiendo en este sector una ley del silencio que nos ha obligado a proteger a
nuestras fuentes, publicando solo sus iniciales y no sus nombres enteros, por temor a
posibles represalias laborales. CB, consultor y auditor habitual de sistemas bancarios,
asegura tras su obligado anonimato:
humor".(Molist, 2018)
Las auditorías que se suelen hacer una vez al año, dos si el banco es muy grande,
han llegado a mostrar agujeros como "poder listar los NIF de los clientes o los registros de
morosos, colarse en el sistema de documentación de hipotecas, transferir dinero sin validar
que la cuenta de origen es la tuya, o entrar en el banco físicamente y llevarte discos duros",
explica CB.(Molist, 2018)
La mayoría de estas auditorías solo pueden hacerse en las redes internas porque el
lío de proveedores es tan grande en el exterior, que es muy difícil conseguir todos los
permisos para realizar las pruebas. Las redes internas están protegidas por cortafuegos y
-
39
detectores de intrusos que deberían parar los ataques, pero la realidad no es tan evidente,
según CB: en un importante banco español los auditores pudieron entrar directamente,
evitando el cortafuegos.(Molist, 2018)
VX, ex auditor QSA y ISO27001, quien actualmente tiene un cargo de
responsabilidad en el departamento de seguridad de una entidad financiera de Barcelona, le
secunda: " Hay bancos que lo tienen todo tan externalizado que su propia gente no sabe qué
tiene" . CB añade: "Lo que tienen es un buen lío y el tiempo de los programadores se va en
documentarlo todo, procedimientos para arriba y para abajo, para poder paliar el no tener a
gente realmente buena".(Molist, 2018)
2.2.2.4 Cómo implementar una política de seguridad
Uno de los primeros pasos que debe dar una entidad bancaria es definir una política
de seguridad que se implemente de acuerdo con las siguientes cuatro etapas:
Identificar las necesidades de seguridad y los riesgos informáticos
que enfrenta la compañía, así como sus posibles consecuencias.
Proporcionar una perspectiva general de las reglas y los
procedimientos que deben implementarse para afrontar los riesgos identificados en
los diferentes departamentos de la organización.
Controlar y detectar las vulnerabilidades del sistema de información,
y mantenerse informado acerca de las falencias en las aplicaciones y en los
materiales que se usan.
Definir las acciones a realizar y las personas a contactar en caso de
detectar una amenaza.
-
40
La política de seguridad comprende todas las reglas de seguridad que sigue una
organización, por lo tanto, la administración de la entidad bancaria debe encargarse de
definirla, ya que afecta a todos los usuarios del sistema.
En este sentido, no son sólo los administradores de informática los encargados de
definir los derechos de acceso sino sus superiores. El rol de un administrador de
informática es el de asegurar que los recursos de informática y los derechos de acceso a
estos recursos coincidan con la política de seguridad definida por la organización.
El administrador es la única persona que conoce el sistema perfectamente, por
consiguiente, deberá proporcionar información acerca de la seguridad a sus superiores,
además de aconsejar a quienes toman las decisiones con respecto a las estrategias que
deben implementarse, y de esta manera constituir el punto de entrada de las
comunicaciones destinadas a los usuarios en relación con los problemas y las
recomendaciones de seguridad.
La seguridad informática de una entidad bancaria depende de que los empleados
(usuarios) y clientes estén bien informados y se capaciten. Sin embargo, la seguridad debe
ir más allá del conocimiento de los usuarios y cubrir las siguientes áreas:
Un mecanismo de seguridad física y lógica que se adapte a las
necesidades de la compañía y al uso de los empleados.
Un procedimiento para administrar las actualizaciones.
Una estrategia de realización de copias de seguridad (backup)
planificada adecuadamente.
Un plan de recuperación luego de un incidente.
Un sistema documentado actualizado.
-
41
2.2.2.5 Objetivos de la seguridad Informática
Los sistemas de información generalmente incluyen todos los datos de una
compañía, en el material y los recursos de software que permiten almacenar y hacer circular
estos datos. Los sistemas de información son fundamentales para las compañías y deben ser
protegidos. La seguridad informática consiste en garantizar que la información y los
recursos de software de una organización en este caso de una entidad bancaria, se usen
únicamente para los propósitos para los que fueron creados y dentro del marco previsto.
2.2.3 Servicios financieros en las entidades bancarias
El sistema financiero del país se encuentra dividido en 3 sectores como se muestra
en la ilustración:
Ilustración 17 - Composición del Sector Financiero Ecuatoriano
Fuente: Elaboración propia
Elaborado por: Julián Angulo y Mariana Córdova
De acuerdo a la Superintendencia de bancos y Seguros se describe los servicios
financieros que pueden aplicar las instituciones bancarias en el Ecuador.
-
42
2.2.3.1 Servicios Financieros con cargo básico
N.º SERVICIOS APLICA 1 Apertura de cuentas Cuenta de ahorros, Cuenta corriente, Cuenta de integración de
capital, Depósitos a plazo, Información crediticia básica, Inversiones
2 Depósitos a cuentas Cuenta de ahorros, Cuenta corriente, Depósitos a plazo, Inversiones
top related