Download - UNEG-AS 2012-Inf12: Auditoría Forense
Universidad Nacional Experimental de Guayana
Vicerrectorado Académico
Dpto. de Ciencia y Tecnología
Ingeniería en Informática
Auditoria
Sección 01
Auditoria Forense
Integrantes:
Giamfranco Tarantini
Asdrubal Oviedo
Puerto Ordaz, 30 de Mayo de 2012
INTRODUCCION
Ahora que nos encontramos en el tercer milenio, nos damos cuenta que estamos
viviendo en un nuevo mundo, el cual evoluciona sin cesar, acelerándose cada día más.
Hoy hemos pasado de una economía de endeudamiento a una que se rige bajo la ley de
la oferta y la demanda, en una aldea común, donde cada vez más las fronteras de los
países van desapareciendo. Esta nueva economía ya no exige al líder de la empresa un
resultado positivo del ejercicio contable, sino una «creación de valor» presente y
previsto y enteramente competitivo. En esta nueva economía, que descansa en el
conocimiento, todos tienen la vocación de ser más libres, pero también más
responsables; la responsabilidad de conducir su carrera, de dirigir su propia empresa y
destino.
Ese entorno es en el que interactúan ahora las organizaciones y naciones, y lo
bueno o malo es que se caracteriza además por ser dinámico y cambiante, a una
velocidad tal, de que si no vamos a su ritmo, podemos quedar desfasados y obsoletos
por utilizar un poco de lenguaje contable. Desgraciadamente, a países como los
nuestros, esta nueva economía no nos encuentra bien parados y por el contrario ha
despertado otros fenómenos como son la corrupción y el fraude que cada vez más se
convierten en situaciones de alto riesgo que los líderes de las organizaciones, privadas o
públicas deben evaluar para analizar la probabilidad de ocurrencia e impacto, de tal
manera de gerenciarlas o controlarlas.
Vivimos en una país con un nivel de pobreza del 54% y el 20% de indigencia
(según datos oficiales), la realidad es más cruda. Con una corrupción a todo nivel. Con
un Poder Judicial endeble y permeable al dinero, con políticos cuestionados, desde el
vicepresidente, hasta ministros y congresistas. No hay seguridad ciudadana, las
negligencias médicas y de otras profesiones son noticias de todos los días. Por otro lado,
el mandatario actual tiene una aceptación del 7%, el gobierno tambalea, la figura
presidencial se deteriora día a día. En medio de esta debacle nacional, la corrupción y
los fraudes en las empresas, se incrementan geométricamente.
El problema número uno está constituido por el desempleo y el subempleo, que
no pueden ser resueltos por los gobiernos, sino por los aportes de la actividad privada.
El segundo gran problema es la corrupción. En el mundo de hoy, más de la mitad de la
culpa es por la corrupción de los empresarios. Otra parte es de los gobiernos, otra de la
sociedad civil, que los deja y les hace el juego por debajo de la mesa. El problema que
se armen nuevas redes de corrupción no se resuelve con un cambio de gobierno. Hace
falta que la sociedad invente algo diferente. Algo como vigilar desde abajo y/o crear
formas de hacer publico y castigar al corrupto. De allí que la Auditoria Forense sea, en
opinión de muchos, una forma de poder castigar a los corruptos.
El fraude es la mayor preocupación en el ambiente de los negocios en la
actualidad, por lo que combatir este flagelo se ha convertido en uno de los objetivos
corporativos tanto a nivel privado como gubernamental, debido a estas crecientes
necesidades surge la denominada: Auditoría Forense.
Objetivo General y Especificos del Proyecto grupal
Objetivo general
- Desarrollar un portal web que sirva de alojamiento y permita la visualización de los
contenidos multimedia generados en el curso de Auditoría y Evaluación de Sistemas,
sirviendo de referencia para la búsqueda de información por parte de profesionales o
personas con actividades afines a la cátedra.
Objetivos específicos
- Definir el nombre, la estructura organizativa y pautas generales del proyecto.
- Crear un plan de trabajo para monitorear el trabajo.
- Analizar y escoger la plataforma de desarrollo web que mejor satisfaga la necesidad
con los recursos disponibles.
- Establecer el formato y la diagramación de los temas para el sitio web.
- Diseñar una interfaz sencilla y cómoda para la visualización del contenido.
- Preparar la ponencia del producto.
- Presentar el producto en las VII Jornadas de Investigación Institucional UNEG.
Objetivo General y Específicos del Proyecto Individual
Objetivo General:
-Brindar una herramienta que ayude a tener un mayor conocimiento sobre la Auditoria
Forense
Objetivos Específicos:
- Dar a conocer un amplio conocimiento sobre la auditoria forense
- Mostrar técnicas utilizadas en la auditoria forense
- Presentar un material como soporte de conocimientos
DEFINICION
La Auditoria forense es el uso de técnicas de investigación criminalística, integradas
con la contabilidad, conocimientos jurídico-procesales, y con habilidades en finanzas y
de negocio, para manifestar información y opiniones, como pruebas en los tribunales. El
análisis resultante además de poder usarse en los tribunales, puede servir para resolver
las disputas de diversas índoles, sin llegar a sede jurisdiccional.
Comúnmente el término forense se relaciona sólo con la medicina legal y con
quienes la practican, frecuentemente identifican este vocablo con necropsia (necro que
significa muerto o muerte), patología (ciencia médica que estudia las causas, síntomas y
evolución de las enfermedades) y autopsia (examen y disección de un cadáver, para
determinar las causas de su muerte).
El término forense corresponde al latín forensis, que significa público, y
complementando su significado podemos remitirnos a su origen forum del latín que
significa foro, plaza pública o de mercado de las antiguas ciudades romanas donde se
trataban las asambleas públicas y los juicios; lo forense se vincula con lo relativo al
derecho y la aplicación de la ley, en la medida que se busca que un profesional idóneo
asista al juez en asuntos legales que le competan y para ello aporte pruebas de carácter
público para representar en un juzgado o Corte Superior.
Según el diccionario Larousse, forense es “el que ejerce su función por
delegación judicial o legal”. Por ello se puede definir la Auditoria forense como
“aquélla que provee de un análisis contable que es conveniente para la Corte, el cual
formará parte de las bases de la discusión, el debate y finalmente el dictamen de la
sentencia”.
En términos de investigación contable y de procedimientos de auditoria, la
relación con lo forense se hace estrecha cuando hablamos de la contaduría forense,
encaminada a aportar pruebas y evidencias de tipo penal, por lo tanto se define
inicialmente a la auditoria forense como una auditoria especializada en descubrir,
divulgar y atestar sobre fraudes y delitos en el desarrollo de las funciones públicas y
privadas; algunos tipos de fraude en la administración pública son: conflictos de
intereses, nepotismo, gratificaciones, estados falsificados, omisiones, favoritismo,
reclamaciones fraudulentas, falsificaciones, comisiones clandestinas, malversación de
fondos, conspiración, prevaricato, peculado, cohecho, soborno, sustitución, desfalco,
personificación, extorsión, lavado de dinero.
BREVE HISTORIA
“A través de la historia se han realizado distintos tipos de auditoria, tanto al
comercio como a las finanzas de los gobiernos. El significado del auditor fue “persona
que oye”, y fue apropiado en la época durante la cual los registros de contabilidad
gubernamental eran aprobados solamente después de la lectura pública en la cual las
cuentas eran leídas en voz alta. Desde tiempos medievales, y durante la revolución
Industrial, se realizaban auditorias para determinar si las personas en posiciones de
responsabilidad oficial en el gobierno y en el comercio estaban actuando y presentado
información de forma honesta”.
Durante la Revolución Industrial a medida que el tamaño de las empresas
aumentaba sus propietarios empezaron a utilizar servicios de gerentes contratados. Con
la separación de propiedad y gerencia, los ausentes propietarios acudieron a los
auditores para detectar errores operativos y posibles fraudes. Los bancos fueron los
principales usuarios externos de los informes financieros. Antes del 1900 la auditoría
tenía como objetivo principal detectar errores y fraudes, con frecuencia incluían el
estudio de todas o casi todas las transacciones registradas.
A mediados del siglo XX, el enfoque del trabajo de auditoría tendió a alejarse de
la detección de fraude y se dirigió hacia la determinación de si los estados financieros
presentaban razonablemente la posición financiera y los resultados de las operaciones.
A medida que las entidades corporativas se expandían los auditores comenzaron a
trabajar sobre la base de muestras de transacciones seleccionadas y en adición tomaron
conciencia de la efectividad del control interno.
La profesión reconoció que las auditorías para descubrir fraudes serían muy
costosas, por estos el control interno fue reconocido como mejor técnica. A partir de la
década de los 60s en Estados Unidos la detección de fraudes asumió un papel más
importante en el proceso de auditoría.
Este desplazamiento en la detección de fraude fue el resultado de: un incremento
del Congreso para asumir una mayor responsabilidad por los fraudes en gran escala, una
diversidad de procesos judiciales exitosos que reclamaban que los informes financieros
fraudulentos habían quedado inapropiadamente sin detección por parte de los auditores
independientes y la convicción por parte de los contadores públicos de que debería
esperarse de las auditorías la detección de fraude material.
En 1996 la Junta de Normas de Auditoría, emitió una guía para los auditores
requiriendo una evaluación explícita del riesgo de errores en los estados financieros en
todas las auditorías, debido al fraude. El uso de sistemas de computación no ha alterado
la responsabilidad del auditor en la detección de errores y fraude. El Congreso y los
reguladores estaban convencidos de que la clave para evitar problemas era la
reglamentación de leyes efectivas y las exigencias por parte de los auditores, en el
cumplimientos de las provisiones de esas leyes y regulaciones.
Como consecuencia de diversos actos fraudulentos las principales
organizaciones de contabilidad patrocinaron la Comisión Nacional sobre Presentación
de informes Financiero Fraudulentos, muchas de las recomendaciones a los auditores
fueron reglamentadas por la Junta de Normas y Auditoría, una de la más importante
fueron sobre la efectividad del control interno y la demanda de la atestación de los
auditores
En estos tiempos de cambios en el mundo, la sociedad y la empresa, se debe
fomentar y enriquecer también en el Perú la implementación y desarrollo de la
Auditoria Forense como una metodología efectiva profundizando la lucha contra la
corrupción. La auditoría a evolucionado para adaptarse a estos nuevos procesos y
enfrentar las grandes transformaciones en los diferentes ambientes, como son las
iniciativas de fusiones, cambios tecnológicos, lanzamientos de nuevos productos,
definición de nuevos servicios, entre otros. Dentro de esta evolución la auditoría se ha
especializado para ofrecer nuevos modelos de auditorías, entre estos encontramos la
Forense que surge como un nuevo apoyo técnico a la auditoría gubernamental, debido al
incremento de la corrupción en este sector. Esta auditoría puede ser utilizada tanto, el
sector público como en el privado.
Los distintos tipos de auditorías son importantes porque proveen confiabilidad
en la información financiera lo que permite a las entidades la asignación de forma
eficiente de los recursos, la contribución del auditor es proporcionar credibilidad a la
información, para los Accionistas, Acreedores, Clientes, Reguladores Gubernamentales,
entre otros.
Con frecuencia se considera que las auditorías se clasifican en tres grandes
categorías: Auditoría de Estado Financieros, Auditorías de Cumplimiento y Auditorías
Operacionales. A continuación se mencionan a las auditorías utilizadas en la actualidad:
• Auditorías Gubernamental
• Auditorías de Estados Financieros
• Auditorías de Cumplimiento
• Auditorías de Gestión y Operacionales
• Auditorías Internas
• Auditorías Especiales
• Auditorías de Control Interno
TIPOS
Los tipos de auditoria forense dependen del tipo de investigación que puede
realizar un auditor forense estos son:
Investigaciones de crimen corporativo;
Estas investigaciones se relacionan con fraude contable y corporativo ante la
presentación de información financiera inexacta por manipulación intencional,
falsificación, lavado de activos, etc.
Investigaciones por disputas comerciales
En este campo, el auditor forense se puede desempeñar como investigador, para
recaudar evidencia destinada a probar o aclarar algunos hechos tales como:
Rompimientos de contratos, disputas por compra y venta de compañías,
reclamos por determinación de utilidades, reclamos por rompimientos de
garantías, disputas por contratos de construcción, disputas por propiedad
intelectual y disputas por costos de proyectos.
Reclamaciones de seguros por devoluciones de productos defectuosos,
por destrucción de propiedades, por organizaciones y procesos complejos
y verificación de supuestos reclamos.
Acusaciones por negligencia profesional, que incluye la cuantificación
de pérdidas ocasionadas y la asesoría a demandantes y acusados
proporcionando evidencia desde expertos en normas de auditoría y de
contabilidad.
Trabajos de valoración de marcas, propiedad intelectual, acciones
DISEÑO
Iniciar un servicio de auditoria forense con fines de detectar y determinar los hallazgos
de irregularidades, fraude y corrupción en la administración de organizaciones, es
establecer una metodología que conste de elementos definidos, consistentes e integrales.
Como aporte para el desarrollo de nuevas y más eficientes metodologías de
investigación de fraudes o realización de auditorias forenses consideramos adecuado el
siguiente esquema.
Esta metodología está constituida por las actividades siguientes:
1. Definición y reconocimiento del problema.
2. Recopilación de evidencias de fraude.
3. Evaluación de la evidencia recolectada.
4. Elaboración del informe final con los hallazgos.
5. Evaluación del riesgo forense.
6. Detección de fraude.
7. Evaluación del Sistema de Control Interno.
El objetivo es el de señalar al auditor una serie de procedimientos que le
brindarán la posibilidad de contar con herramientas técnicas a fin de cumplir con éxito
su cometido, por ello no se profundiza en ellas.
La estructura de trabajo sigue los lineamientos de las Normas de Auditoria
Generalmente Aceptadas (NAGAS) y las Declaraciones sobre normas de auditoria
(SAS), en cuanto a las etapas del proceso de auditoría (Planeación, Ejecución e
Informe), sin olvidar, por supuesto, que al detectarse un fraude o una irregularidad, el
proceso puede verse afectado en cuanto al enfoque, objetivos, alcance de las pruebas,
composición del equipo de auditoría y cronograma de trabajo.
Para un mejor entendimiento de la metodología, se parte del hecho de realizar
una auditoría integral y no de la aplicación de un sistema de control en particular,
aunque se hace énfasis en la evaluación del sistema de control interno, en el control
financiero y en el control fiscal a la contratación estatal.
En lo concerniente al establecimiento de áreas de riesgo, se utiliza la evaluación
del sistema de control interno, según el COSO (Committee of Sponsoring
Organizations of tiie Treadway Commission). Sin embargo, se toman algunas
consideraciones que la Entidad Federal de Fiscalización (EFK) utiliza para la
planeación de las fiscalizaciones. De igual manera, el término de "banderas rojas",
utilizado por la Oficina del Auditor General de Canadá, hace referencia a los síntomas o
indicadores de fraudes que se asocian con otros casos.
En lo concerniente al Control Financiero, se utiliza la práctica por ciclos
transaccionales y el Control de Legalidad.
El término "hallazgo" es entendido como las deficiencias o debilidades
presentadas a través del informe de auditoría y que hacen parte de los comentarios que
el auditor redacta sobre los aspectos saltantes encontrados durante el proceso.
NORMATIVAS
En la actualidad no existe un cuerpo definido de principios y normas de auditoría
forense, sin embargo, dado que este tipo de auditoría en términos contables es mucho
más amplio que la auditoría financiera, por extensión debe apoyarse en principios y
normas de auditoría generalmente aceptadas y de manera especial en normas referidas al
control, prevención, detección y divulgación de fraudes, tales como las normas de
auditoría SAS N° 82 y N° 99 y la Ley Sarbanes-Oxley.
5.1) SAS N° 82 «Consideraciones sobre el Fraude en una Auditoría de Estados
Financieros»:
Esta norma entró en vigencia a partir de 1997 y clarificó la responsabilidad del auditor
por detectar y reportar explícitamente el fraude y efectuar una valoración del mismo. Al
evaluar el fraude administrativo se debe considerar 25 factores de riesgo que se agrupan
en tres categorías:
1. Características de la administración e influencia sobre el ambiente de control
(seis factores);
2. Condiciones de la industria (cuatro factores); y
3. Características de operación y de estabilidad financiera (quince factores).
De manera especial se debe resaltar que el SAS N° 82 señala que el fraude
frecuentemente implica: (a) una presión o incentivo para cometerlo; y (b) una
oportunidad percibida de hacerlo. Generalmente, están presentes estas dos condiciones.
5.2) SAS N° 99 «Consideración del fraude en una intervención del estado financiero».
Esta declaración reemplaza al SAS N° 82 «Consideraciones sobre el Fraude en una
Auditoría de Estados Financieros » y enmienda a los SAS N°1 «Codificación de normas
y procedimientos de auditoría» y N° 85 «Representaciones de la Gerencia» y entró en
vigencia en el año 2002. Aunque esta declaración tiene el mismo nombre que su
precursora, es de más envergadura que el SAS N° 82 pues provee a los auditores una
dirección ampliada para detectar el fraude material y da lugar a un cambio substancial
en el trabajo del auditor.
Este SAS acentúa la importancia de ejercitar el escepticismo profesional durante el
trabajo de auditoría. Asimismo, requiere que un equipo de auditoría:
1. Discuta en conjunto cómo y dónde los estados financieros de la organización
pueden ser susceptibles a una declaración errónea material debido al fraude.
2. Recopile la información necesaria para identificar los riesgos de una declaración
errónea material debido al fraude.
3. Utilice la información recopilada para identificar los riesgos que pueden dar
lugar a una declaración errónea material debido al fraude.
4. Evalúe los programas y los controles de la organización que tratan los riesgos
identificados.
5. Responder a los resultados del gravamen.
Finalmente, este SAS describe los requisitos relacionados con la documentación del
trabajo realizado y proporciona la dirección con respecto a las comunicaciones del
auditor sobre el fraude a la gerencia, al comité de auditoría y a terceros.
5-3) Ley Sarbanes-Oxley
En el mes de julio de 2002, el presidente de los Estados Unidos promulgó la Ley
Sarbanes-Oxley. Esta ley incluye cambios de amplio alcance en las reglamentaciones
federales sobre valores que podrían representar la reforma más significativa desde la
sanción de la Securities Exchange Act de 1934. La Ley dispone la creación del Public
Compnay Accounting Oversigth Borrad (PCAOB) para supervisar las auditorías de
empresas que cotizan y que están sujetas a las leyes sobre valores de la Securities and
Exchange Comisión (SEC).
Asimismo, se establece un nuevo conjunto de normas de independencia del auditor,
nuevos requisitos de exposición aplicables a las empresas que cotizan y a sus miembros,
y severas sanciones civiles y penales para los responsables de violaciones en materia de
contabilidad o de informes. También se imponen nuevas restricciones a los préstamos y
transacciones con acciones que involucran a miembros de la empresa.
Para las empresas que cotizan valores de los Estados Unidos de Norteamérica, los
efectos más destacados de la Ley se refieren a la conducción societaria; la ley obligará a
muchas empresas a adoptar cambios significativos en sus controles internos y en los
roles desempeñados por su comité de auditoría y la gerencia superior en el proceso de
preparación y presentación de informes financieros.
En este sentido, la ley otorga mayores facultades a los Comités de Auditoría que deben
estar conformados en su totalidad por directores independientes, donde al menos uno de
los cuales debe ser un experto financiero. Este Comité es responsable de supervisar
todos los trabajos de los auditores externos, incluyendo la pre-aprobación de servicios
no relacionados con la auditoría y a la cual los auditores deben reportar todas las
políticas contables críticas, tratamientos contables alternativos que se hubieran discutido
para una transacción específica, así como toda comunicación escrita significativa que se
haya tenido con la Gerencia.
La ley también impone nuevas responsabilidades a los Directores Ejecutivos y
Financieros y los expone a una responsabilidad potencial mucho mayor por la
información presentada en los estados financieros de sus empresas ya que, entre otros,
éstos requieren mantener y evaluar la efectividad de los procedimientos y controles para
la exposición de información financiera, debiendo emitir regularmente un certificado al
respecto. La ley también impone severas penas por preparar información financiera
significativamente distorsionada o por influir o proporcionar información falsa a los
auditores.
AUDITORIA FORENSE INFORMATICA
Métodos Usados para abusar de las nuevas tecnologías y como prevenirlos y
detectarlos.
Seguridad de la información:
Es el conjunto de medidas preventivas y reactivas del hombre, de las organizaciones y
de los sistemas tecnológicos que permitan resguardar y proteger
la información buscando mantener la confidencialidad, la disponibilidad e Integridad de
la misma.
Ataque:
Intento de destruir, exponer, alterar, inutilizar, robar o acceso o uso no autorizado de un
activo, entendiéndose por activo todo aquello que representa un valor para la empresa.
Tipos de ataque.
Acceso
Modificación
Denegación de servicio
Refutación
Ataque de acceso
Es un intento de obtener información que un atacante no esta autorizado a ver. El ataque
puede ocurrir:
En la fuente de almacenamiento
Durante la transmición de la información.
Clasificación
Fisgoneo: Consiste en hurgar entre los archivos de información con la esperanza
de encontrar algo interesante.
Escuchar furtivamente: Consiste en escuchar una conversación en la que no
formas partes. Para obtener acceso no autorizado a la información, el atacante
debe colocarseen un sitio que probablemnte circule toda la información o al
menos la que le interesa.
Intercepción: Parecido a la escucha furtiva a diferencia que el atacante se coloca
el mismo en la ruta de la información y la captura antes de que esta llegue a su
destino.
Ataque de modificación.
Es un intento de modificar la información que un atacante no esta autorizado a
modificar. El ataque puede ocurrir:
En la fuente de almacenamiento
Durante la transmisión de la información.
Clasificación
Cambios: Es el cambio de la información existente.
Inserción: Agrega información que no existía con anterioridad.
Eliminación: Es la remoción de información existente.
Ataque de Denegación de Servicio
Son ataques que niegan el uso de los recursos a los usuarios legítimos del sistemas,
información o capacidad.
Clasificación.
Denegación de acceso a la información: Ataque DoS en contra de la información
provocando que no este disponible.
Denegación de acceso a la aplicación: ataque DoS dirigido a la aplicación que
manipula o exhibe la información.
Denegación de acceso a sistemas: dirigido a derribar sistemas de computo.
Denegación de acceso de comunicaciones: Ataque dirigidos alas redes y medios.
Consiste en congestionar las redes o dañar los medios de transmisión.
Amenazas
Posible causa de un incidente no deseado, que puede resultar en daños a un sistema u
organización.
Componentes
Objetivos. Aspecto de la seguridad que puede ser atacado.
Agentes: Las personas u organizaciones que originan la amenaza.
Eventos: El tipo de acción que representa la amenaza.
Vulnerabilidad
La debilidad de un activo de control que puede ser explotada por una amenaza. ISO
27000:2009.
Posibilidad de ocurrencia de la materialización de una amenza sobre un activo.
Las siguientes son algunas de las amenazas comunes en internet (más allá de los
gusanos, los virus y los troyanos que pueden ser eliminados con un antivirus), es
importante reconocerlas porque mientras no estén debidamente regulados los delitos
informáticos, es el sentido común del usuario lo que puede guiarlo para evitar un ataque
virtual.
Phishing
Phishing es un término informático que denomina un tipo de delito encuadrado dentro
del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo
deingeniería social caracterizado por intentar adquirir información confidencial de
forma fraudulenta (como puede ser una contraseña o información detallada
sobre tarjetas de crédito u otra información bancaria). El estafador, conocido
como phisher, se hace pasar por una persona o empresa de confianza en una aparente
comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema
de mensajería instantánea1 o incluso utilizando también llamadas telefónicas.
Dado el creciente número de denuncias de incidentes relacionados con el phishing, se
requieren métodos adicionales de protección. Se han realizado intentos con leyes que
castigan la práctica y campañas para prevenir a los usuarios con la aplicación de
medidas técnicas a los programas.
Pharming
Pharming es la explotación de una vulnerabilidad en el software de los
servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios,
que permite a un atacante redirigir un nombre de dominio (domain name) a otra
máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de
dominio que haya sido redirigido, accederá en su explorador de internet a la página web
que el atacante haya especificado para ese nombre de dominio.
En el pharming no es implícito que se requiera de hacer algún tipo de respuesta a un
correo electrónico, o se valga de algún programa troyano, ni en su defecto de un
programa de captura de tecleo (en comparación del phishing); sino que se valen del
servidor que el atacante controle.
En cualquiera de los casos se recomienda:
1) No responder a solicitudes de información personal a través del correo electrónico,
salvo que se conozca (y no virtualmente) a la persona solicitante. En caso de existir
dudas, póngase en contacto con la entidad (casa comercial o banco) que supuestamente
le está enviando el mensaje.
2) Actualmente los programas de seguridad, como los antivirus, contienen programas
que permiten verificar la autenticidad del sitio web que se visita. El ícono del candado
cerrado de sitio seguro funciona muchas veces como una herramienta práctica que
permite identificar el certificado de seguridad del sitio que se está visitando.
3) Consulte de manera frecuente sus saldos bancarios y de sus tarjetas de crédito.
4) Guarde en un lugar seguro toda la prueba física y electrónica de sus transacciones
realizadas.
5) Si no puede verificar al autenticidad del sitio web que visita, evite hacer cualquier
clase de transacción o envío de información personal
SPAM
“SPAM” es la denominación que se le da a aquellos correos que no son solicitados y los
cuales son enviados de forma masiva a la bandeja de entrada de los usuarios de la red,
sin el consentimiento del receptor.
El spam usualmente viene disfrazado con una línea de asunto que el usuario lee como
un mensaje personal, un mensaje de negocio (como podría ser la renovación de una
cuenta), o bien, una falta de entrega de algún mensaje.[6]
Desafortunadamente, el spam no se limita solamente a correos electrónicos, puede
afectar cualquier sistema que permita al usuario hacer uso de comunicaciones.
El Protocolo de Inicio de Sesiones (SIP por sus siglas en inglés Session Initiation
Protocol), es utilizado para las comunicaciones multimedia entre los usuarios, incluidas
las de voz, video, mensajería instantánea y de presencia, en consecuencia, cualquiera de
estas comunicaciones puede ser tan vulnerable al spam como lo es el correo electrónico.
El spam puede presentarse de tres diferentes maneras:
1.- La llamada spam (call spam). Este tipo de spam se define como intentos de
iniciación de sesión en masa no solicitados (es decir invitar solicitudes), tratando de
establecer comunicación por medio de voz, video, mensajería instantánea o cualquier
otro tipo de sesiones de comunicación. Si el usuario debe contestar, el spammer procede
a transmitir su mensaje mediante el tiempo real de medios de comunicación. Este spam
es clásico de telemercadeo, es llamado spam mediante telefonía IP (protocolo de
internet por sus siglas en inglés Internet Protocol IP) o “spit”.
2.- Spam de mensajería instantánea (IM spam). Este tipo de spam es muy similar al del
correo electrónico, está definido por mensajes instantáneos no solicitados enviados en
abundancia, cuyo contenido es el mensaje que el spammer desea transmitir; este spam,
es enviado mediante una solicitud de mensaje SIP; sin embargo, cualquier otra solicitud
que genere contenido al aparecer en automático en la pantalla del usuario, será
suficiente. Puede incluir también invitaciones con temas de cabecera largos o
invitaciones que contengan texto HTML. Este tipo de spam es llamado spam sobre
mensajería instantánea o “spim”.
3.- Spam de presencia (presence spam). Este tipo de spam es similar al IM spam, puesto
que se define por un conjunto de solicitudes de presencia (es decir, peticiones de
suscripción) enviadas en masa, sin diferir de los tipos anteriores, no son requeridas
éstas, esto para la presencia de paquetes, con el fin de esta en el cuerpo de la lista o
“lista blanca” de un usuario con el propósito de enviar mensajes instantáneos o iniciar
alguna otra forma de comunicación. [7]
Actualmente los proveedores del servicio de correo electrónico han establecido
programas o filtros para combatir el spam, auxiliándose en muchas ocasiones de las
denuncias de los mismos usuarios.
Botnet
Botnet es un término que hace referencia a un conjunto de robots informáticos o bots,
que se ejecutan de manera autónoma y automática. El artífice de la botnet (llamado
pastor) puede controlar todos los ordenadores/servidores infectados de forma remota y
normalmente lo hace a través del IRC (Internet Relay Chat, es un protocolo de
comunicación en tiempo real basado en texto). Las nuevas versiones de estas botnets se
están enfocando hacia entornos de control mediante HTTP, con lo que el control de
estas máquinas será mucho más simple.
En los sistemas Windows la forma más habitual de expansión de los "robots" suele ser
en el uso de cracks y archivos distribuidos de forma que infringe la licencia copyright.
Este tipo software suele contener malware el cual, una vez el programa se ejecuta,
puede escanear su red de área local, disco duro, puede intentar propagarse usando
vulnerabilidades conocidas de windows, etc.
Con el Botnet se realizan ataques de tipo DDoS (ataque distribuido de denegación de
servicio, ) el cual lleva a cabo generando un gran flujo de información desde varios
puntos de conexión y por ende no se reconoce con facilidad desde cual conexión
estamos siendo atacados.
Herramientas y métodos utilizados para evitar el abuso de las nuevas tecnologías
Firewall (cortafuegos)
Es una parte de un sistema o una red que está diseñada para bloquear el acceso no
autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.
Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar,
cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de
normas y otros criterios.
Los cortafuegos pueden ser implementados en hardware o software, o una combinación
de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de
Internet no autorizados tengan acceso a redes privadas conectadas a Internet,
especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a
través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen
los criterios de seguridad especificados.
Antivirus;
Aplicación o grupo de aplicaciones dedicadas a la prevención, búsqueda, detección y
eliminación de programas malignos en sistemas informáticos.
Antispam:
Es lo que se conoce como método para prevenir el "correo basura” o spam.Tanto los
usuarios finales como los administradores de sistemas de correo electrónico utilizan
diversas técnicas contra ello. Algunas de estas técnicas han sido incorporadas en
productos, servicios y software para aliviar la carga que cae sobre usuarios y
administradores. No existe la fórmula perfecta para solucionar el problema del spam por
lo que entre las múltiples existentes unas funcionan mejor que otras, rechazando así, en
algunos casos, el correo deseado para eliminar completamente el spam, con los costes
que conlleva de tiempo y esfuerzo.
Filtros de Contenido:
Los filtros de contenido son la herramienta más común de protección. Son programas
diseñados para controlar y gestionar el contenido que se visualiza desde un equipo. Es
decir, el filtro decidirá qué contenido es apto. El principal motivo de su existencia es
prevenir a los usuarios de ciertas informaciones que no nos son deseadas. Cuando se
impone sin el consentimiento del usuario, puede constituir censura.
Los usos comunes de estos programas incluyen padres que desean limitar los sitios que
sus hijos ven en sus computadoras domésticas, escuelas con el mismo objetivo,
empleadores para restringir qué contenidos pueden ver los empleados en el trabajo.
Auditoria en la Seguridad de la Información:
Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por
profesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática, para
identificar, enumerar y posteriormente describir las diversas vulnerabilidades que
pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de
comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables
quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo
siempre un proceso secuencial que permita a los administradores mejorar la seguridad
de sus sistemas aprendiendo de los errores cometidos con anterioridad.
Las auditorías de seguridad de SI (Sistemas de Información) permiten conocer en el
momento de su realización cuál es la situación exacta de sus activos de información en
cuanto a protección, control y medidas de seguridad.
Realización de una Auditoria en un Sistema de Información:
Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas
prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de
informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la
Información), dentro de los objetivos definidos como parámetro, se encuentra el
"Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar
el estándar ISO 27002, el cual se conforma como un código internacional de buenas
prácticas de seguridad de la información, este puede constituirse como una directriz de
auditoría apoyándose de otros estándares de seguridad de la información que definen los
requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO
27001.
La publicación del estándar ISO 27002 en 2.005 incluye las siguientes secciones
principales, las cuales deben ser tomadas en cuenta al evaluar un sistema de información
o auditar el mismo:
1. Política de Seguridad de la Información.
2. Organización de la Seguridad de la Información.
3. Gestión de Activos de Información.
4. Seguridad de los Recursos Humanos.
5. Seguridad Física y Ambiental.
6. Gestión de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
9. Gestión de Incidentes en la Seguridad de la Información.
10. Gestión de Continuidad del Negocio.
11. Cumplimiento.
Dentro de cada sección, se especifican los objetivos de los distintos controles para la
seguridad de la información. Para cada uno de los controles se indica asimismo una guía
para su implantación. El número total de controles suma 133 entre todas las secciones
aunque cada organización debe considerar previamente cuántos serán realmente los
aplicables según sus propias necesidades.
¿Qué estrategias de búsqueda de información aplicamos?
Las estrategias a usar serán:
1.-Una consulta con un auditor y/o abogado penal.
2.-Revision y estudio del Código Orgánico Procesal Penal
3.- Asesoría Contable, búsqueda de información sobre finanzas
4.- Recopilación de Información en libros virtuales
5.- Discusión breve con compañeros de equipo (intercambio de ideas e
información).
¿Cuál fue el proceso de diseño seguido?
Introducción:
1.-Reseña Histórica
Inicios
Actualidad
Futuro
2.-Tipos de Auditoria Forense
Semejanzas
Diferencias
Objetivos
Procedimientos
3.-Diseño de una Auditoria Forense
4.-Normas legales:
Definición del Código Orgánico Procesal Penal
Leyes destacadas
Responsables del cumplimiento de las mismas
5.-Presentacion de video
6.-Muestra de herramienta o programa relacionado
¿Cuáles fueron las Herramientas Utilizadas?
1. Investigación en libros electrónicos.
2. Código Orgánico Procesal Penal.
3. Ejemplos de auditorías forenses ya realizadas.
4. Estadísticas de auditorías forenses
5. Entendimiento del control interno y políticas y procedimientos en el área
afectada
¿Cuál fue el proceso de toma de decisiones para elegir la herramienta?
Se identifico y se analizo el tema de investigación, luego de leer el contenido
sobre el cual se tendría que investigar se identificaron criterios y prioridades para usar
herramientas más necesarias, se siguió el siguiente patrón:
1. Identificar y Analizar las herramientas
2. Se Define una herramienta prioritaria
3. Se Evaluaron las Opciones
4. Se tomaron las decisiones
Planificacion detallada del proyecto individual
Conclusión.
La Auditoria Forense brinda un aporte muy positivo ya que evalúa las actividades y el
desarrollo de estas, identificando que todo se lleve acabo como lo dictan las leyes
establecidas, de esta manera se estaría resguardando el patrimonio del Estado.
La lucha contra la corrupción, valor agregado para los procesos operativos,
transparencia en las operaciones, credibilidad de los funcionarios e instituciones
públicas, son unos de los aportes significativos que nos brinda la Auditoria Forense,
gracias a estos aportes hoy en día existe una mejora en la administración publica.
Actualmente así como existen muchas maneras de vernos afectos por actividades ilícitas
realizadas sin darnos cuenta, también existen distintos métodos de salvaguardar y
prevenir nuestros bienes. Todo dependerá de lo precavido que seamos al realizar
nuestras actividades ya sea de nuestra organización como el manejo de los sistemas de
información.