tabla de contenido -...

EXTRACTOS DEL LIBRO

TECNOLOGÍA APLICADA A LA INFORMACIÓN DE

ANÍBAL MAZZA FRAQUELLI

1

Tabla de contenido Conceptos de Seguridad .......................................................................................................................................... 10

Principios de Seguridad ....................................................................................................... 10

Algunas palabras sobre seguridad ....................................................................................... 10

La seguridad como estrategia .............................................................................................. 11

Ecuación del Riesgo ............................................................................................................. 12

A nivel organizacional .......................................................................................................... 12

Vulnerabilidad y Abuso ........................................................................................................ 13

Incidentes con los Sistemas de Información ....................................................................... 14

Amenazas a los Sistemas Información ................................................................................. 14

Ataques Electrónicos ........................................................................................................... 15

Desastre ............................................................................................................................... 15

Donde ocurren los errores? ................................................................................................. 15

Problemas de Calidad en los Sistemas ................................................................................. 16

Seguridad e Internet ............................................................................................................ 16

Desarrollar una estructura de control ................................................................................. 16

Abusos por Internet ............................................................................................................. 17

Integridad............................................................................................................................. 17

Disponibilidad ...................................................................................................................... 17

Accesibilidad ........................................................................................................................ 17

Política de Seguridad ........................................................................................................... 17

Agujeros de Seguridad ......................................................................................................... 17

Bug ....................................................................................................................................... 18

Exploit .................................................................................................................................. 18

FRAUDE (s/LEY) .................................................................................................................... 19

EXTRACTOS DEL LIBRO



2

USURPACION DE IDENTIDAD: .............................................................................................. 19

DOCUMENTACION APOCRIFA:............................................................................................. 19

FRAUDE CON INGENIERIA SOCIAL: ...................................................................................... 19

MAN IN THE MIDDLE: .......................................................................................................... 19

Denegación de Servicio ........................................................................................................ 20

PGP ....................................................................................................................................... 20

Pharming .............................................................................................................................. 20

Phishing ................................................................................................................................ 20

Phreaker ............................................................................................................................... 21

Spoofing ............................................................................................................................... 21

Usuarios roles y permisos .................................................................................................... 21

Control ..................................................................................................................................................................... 22

Controles .............................................................................................................................. 22

Seguridad por Controles Físicos ........................................................................................... 22

Controles de acceso ............................................................................................................. 22

Controles Biométricos ......................................................................................................... 22

Estrategia Defensiva ............................................................................................................ 23

Seguridad de Datos .............................................................................................................. 23

Comunicación ...................................................................................................................... 23

Controles Administrativos ................................................................................................... 23

Controles de Aplicación ....................................................................................................... 24

AMBIENTE DE CONTROL ...................................................................................................... 24

Crear un Ambiente de Control ............................................................................................. 25

Control en los Sistemas de Información .............................................................................. 25

Tipos de control ................................................................................................................... 25

EXTRACTOS DEL LIBRO



3

Pasos del control .................................................................................................................. 25

Conceptos De Control En Los Sistemas Computarizados .................................................... 26

Ubicación De Los Controles En Un Sistema De Información ............................................... 26

Controles de seguridad física y funcional. ........................................................................... 28

Localización de los Controles ............................................................................................... 29

Delitos Informáticos .................................................................................................................................................. 30

Tipos de delitos informáticos reconocidos por Naciones Unidas ........................................ 31

Conceptos de Delito ............................................................................................................. 33

Delitos informáticos Mundialmente Tipificados ................................................................. 34

Diferencias con los delitos “reales” ..................................................................................... 34

Piratería De Software ............................................................................................................................................... 34 Backup ..................................................................................................................................................................... 37

El costo de no hacer backup ................................................................................................ 38

Clasificaciones de Backup .................................................................................................... 39

Según cantidad relativa de datos ........................................................................................ 39

Según la periodicidad con que se realiza ............................................................................. 39

Según en qué tipo de equipo se realice ............................................................................... 40

Según desde donde se realice. ............................................................................................ 40

Políticas de Seguridad ............................................................................................................................................. 40

¿Cómo debe ser la política de seguridad? ........................................................................... 41

Contraseñas ............................................................................................................................................................. 41

Password .............................................................................................................................. 41

Strong Password .................................................................................................................. 42

Las passwords usuales segun Hackers Chronicle ................................................................. 42

Hackers .................................................................................................................................................................... 43

¿Qué queremos proteger? .................................................................................................. 43

Estereotipos Sociales ........................................................................................................... 43

EXTRACTOS DEL LIBRO



4

Diferencias entre hackers, lammers y crackers ................................................................... 44

Intrusos ................................................................................................................................ 45

Técnicas de intrusión ........................................................................................................... 45

Detección de intrusiones ..................................................................................................... 45

Técnicas para detección de intrusos.................................................................................... 46

Integración con firewall ....................................................................................................... 46

Tipos de IDSs ........................................................................................................................ 46

HIDS ..................................................................................................................................... 46

NIDS ..................................................................................................................................... 47

Virus......................................................................................................................................................................... 47

HISTORIA .............................................................................................................................. 48

VIRUS EN LAS REDES ............................................................................................................ 48

Virus ..................................................................................................................................... 48

Malware - Código Malicioso ................................................................................................ 49

Quien fabrica los virus…? ..................................................................................................... 49

CARACTERÍSTICAS ................................................................................................................ 49

Generaciones de Virus ......................................................................................................... 49

Distintos Tipos de Virus ....................................................................................................... 50

Prevención primaria............................................................................................................. 50

Signos y síntomas ................................................................................................................. 51

Como prevenirse… ............................................................................................................... 52

Ataques de los Virus ............................................................................................................ 52

Acciones varias. ................................................................................................................... 53

Virus y Gusanos .................................................................................................................... 53

Caballos de Troya y Spam .................................................................................................... 54

EXTRACTOS DEL LIBRO



5

Puertas traseras (Backdoors) ............................................................................................... 54

Superzapping ....................................................................................................................... 54

Técnicas salami .................................................................................................................... 54

Denial of Service (Denegación de Servicio) ......................................................................... 54

Consecuencias Virus - ComputerWorld .............................................................................. 57

CICLO DE VIDA DE UN VIRUS ............................................................................................... 57

Tipos de Virus....................................................................................................................... 58

Software Antivirus ............................................................................................................... 59

Spyware ................................................................................................................................................................... 60

¿Para qué se utiliza la información recolectada? ................................................................ 60

¿Quién creó los Spyware? ................................................................................................... 61

Efectividad ........................................................................................................................... 61

¿COMO BLOQUEAR UN SPYWARE? ..................................................................................... 61

Criptografía .............................................................................................................................................................. 61

Conceptos ............................................................................................................................ 61

Términos .............................................................................................................................. 62

Tipos de Claves .................................................................................................................... 62

Ataques en contra de la encriptación .................................................................................. 62

Códigos de sustitución ......................................................................................................... 63

Libretas de un único uso ...................................................................................................... 63

“Pretty Good Privacity” - PGP .............................................................................................. 63

ESTEGANOGRAFIA ............................................................................................................... 64

Ingeniería social ....................................................................................................................................................... 64 Seguridad Informática .............................................................................................................................................. 67

RIESGOS O AMENAZAS ........................................................................................................ 68

Autenticación ....................................................................................................................... 68

EXTRACTOS DEL LIBRO



6

Autenticación por Contraseñas o Passwords ...................................................................... 68

Control de Acceso ................................................................................................................ 69

Control de Acceso ................................................................................................................ 69

Medios en donde reside la información .............................................................................. 69

La importancia de la protección .......................................................................................... 69

¿Sabe cuáles son las Responsabilidades? ............................................................................ 70

Recomendaciones de Seguridad .......................................................................................... 70

Seguridad Informática ......................................................................................................... 71

Recomendaciones de Seguridad. ......................................................................................... 71

Check list de Seguridad ........................................................................................................ 72

Seguridad Física ...................................................................................................................................................... 74

Seguridad física .................................................................................................................... 74

Medidas ............................................................................................................................... 74

Áreas de la seguridad física ................................................................................................. 76

Auditoría Física .................................................................................................................... 77

Domotica.............................................................................................................................. 78

Plan de Recupero de Desastres ............................................................................................................................... 78

Disaster Recovery Planning ................................................................................................. 79

Quienes pueden provocar (sin querer… o queriendo) desastres… ..................................... 80

Plan de Contingencia ........................................................................................................... 80

Desarrollo de Planes de Continuidad del Negocio .............................................................. 81

Análisis del Impacto en el Negocio ...................................................................................... 81

Selección de Estrategias ...................................................................................................... 81

Desarrollo de Planes ............................................................................................................ 82

Métodos: Pruebas y Mantenimiento ................................................................................... 82

Como auditar un Plan de Continuidad de Negocios ............................................................ 82

EXTRACTOS DEL LIBRO



7

PLAN DE CONTINGENCIA ..................................................................................................... 82

Control Interno ......................................................................................................................................................... 83

El Control interno ................................................................................................................. 83

Controles Preventivos .......................................................................................................... 83

Controles Detectivos ............................................................................................................ 83

Controles Correctivos .......................................................................................................... 83

COSO .................................................................................................................................... 84

Definición de Control Interno .............................................................................................. 84

Eficacia y Eficiencia en las Operaciones ............................................................................... 84

Confiabilidad de la Información Financiera ......................................................................... 84

Cumplimiento con las leyes y normas que sean aplicables ................................................. 85

Los cinco Componentes del Control Interno ....................................................................... 85

Ambiente de control ............................................................................................................ 85

Análisis de Riesgos ............................................................................................................... 85

Actividades de control ......................................................................................................... 85

Información.......................................................................................................................... 86

Comunicación ...................................................................................................................... 86

Monitoreo y Supervisión ..................................................................................................... 86

Preguntas de Ejecutivos que siguen sin respuestas ............................................................ 87

Ley SOX ................................................................................................................................ 87

Normas de control interno a tener en cuenta en los sistemas interactivos ....................... 88

Controles generales ............................................................................................................. 90

Controles de aplicación........................................................................................................ 90

Auditoría de Sistemas .............................................................................................................................................. 91

El control interno y el auditor de sistemas .......................................................................... 92

Auditoría Externa Vs. Auditoría Interna .............................................................................. 92

EXTRACTOS DEL LIBRO



8

Auditoria de los Sistemas de Información ........................................................................... 93

Dos enfoques de la auditoria de SI ...................................................................................... 93

Focos de los Tipos de Auditoria ........................................................................................... 94

¿Qué es la Auditoria de Sistemas? ...................................................................................... 94

¿Qué se revisa y evalúa? ...................................................................................................... 94

Etapas de una Auditoria....................................................................................................... 95

Planificación de auditoría: ................................................................................................... 95

Asignación de los recursos de auditoria ............................................................................ 100

Técnicas de recopilación de evidencia............................................................................... 100

Evaluación de fortalezas y debilidades .............................................................................. 101

Generar el informe de auditoría. ....................................................................................... 102

Seguimiento para verificar que la gerencia ha implementado las recomendaciones ....... 103

Código de ética profesional ............................................................................................... 103

Normas profesionales sobre auditoria de sistema de la EDPAF (estándares generales para

auditoria de sistemas). ...................................................................................................... 103

TECNICAS CAAT (procesos especializados de auditoría asistida por computador) ........... 104

Similitudes entre la Auditoria de Sistemas y la tradicional ............................................... 106

Diferencias entre la Auditoria de Sistemas y la tradicional ............................................... 107

Tipos de auditoría .............................................................................................................. 107

¿Cómo se audita un sistema? ............................................................................................ 108

El riesgo de auditoria ......................................................................................................... 108

Sistema De Control Interno ............................................................................................... 108

Pruebas de Cumplimiento de Controles ............................................................................ 109

CLASIFICACION DE CONTROLES CLAVES ............................................................................ 109

Pruebas Sustantivas ........................................................................................................... 111

EXTRACTOS DEL LIBRO



9

Esquema de auditoria ........................................................................................................ 112

El proceso de la auditoria de sistemas de información ..................................................... 112

Pistas y Registros de Auditoria .......................................................................................... 113

Pistas de Auditoría en entornos de red ............................................................................. 114

COBIT ................................................................................................................................. 114

SELECCION DE MUESTRAS PARA EFECTUAR PRUEBAS ...................................................... 115

Auditemos un Sistema... .................................................................................................... 117

Ejemplo de auditoría de sistemas en un Sistema de Liquidación de haberes: preguntas a

realizar (se) ........................................................................................................................ 117

EXTRACTOS DEL LIBRO



10

Conceptos de Seguridad

• “El único sistema seguro es aquel que: está apagado y desconectado, enterrado en un refugio de

cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien

armados. Aún así, yo no apostaría mi vida por él.” - Gene Spafford - Professor of Computer

Sciences and Philosophy, Purdue University

• "La combinación de espacio, tiempo y fuerza, que deben considerarse como los elementos básicos

de esta teoría de la defensa, hace de ésta una cuestión complicada. Por consiguiente, no es fácil

encontrar un punto fijo de partida". De la guerra, Karl Von Clausewitz.

• “El arte de la guerra nos enseña a confiar no en la posibilidad de que el enemigo no venga, sino en

nuestra propia disponibilidad para recibirlo; no en la oportunidad de que no ataque, sino en el

hecho de que hemos logrado que nuestra posición sea inexpugnable”. El arte de la guerra, Sun

Tzu.

• In God we trust. All others we monitor — Lema de la NSA

Activos de Información: es todo aquel recurso valioso o de importancia para la actividad. Esto puede ser:

▪ Información propiamente tal: Bases de datos, archivos, conocimiento de la persona. ▪ Documentos: manuales, contratos, facturas. ▪ Software: Aplicaciones, sistemas operativos, utilitarios. ▪ Físicos: Equipos, edificios, redes. ▪ Recursos Humanos: personas internas o externas al proyecto. ▪ Servicios: Electricidad, soporte, mantención.

Principios de Seguridad

▪ Mínimos privilegios de acceso a los recursos

▪ Mínima exposición: no se vea más que lo necesario

Algunas palabras sobre seguridad

• SEA PARANOICO

• El ambiente actual está caracterizado por un mercado altamente

competitivo, donde la “tecnología” y la “información” desempeñan

un papel importante en la atención de clientes

• Los intrusos son cada vez mas sofisticados…

• Construyen bases de conocimientos y desarrollan habilidades

• Se apalancan en la automatización se mueven fácilmente a lo largo de la infraestructura y sacan

provecho de la red

• Son cada vez más hábiles y disfrazan su comportamiento

• Internet se ha vuelto indispensable para los negocios

• IDEA FUNDAMENTAL: La seguridad es un proceso continuo que NO puede ser reemplazado

exclusivamente por la compra de equipos

EXTRACTOS DEL LIBRO



11

• La Seguridad NO es sólo tecnología..... Es un proceso...

• Ud. No puede comprar un equipo que le garantice la seguridad que necesita...

• Ud. Puede procurar operar de manera segura...

La seguridad como estrategia

EXTRACTOS DEL LIBRO



12

El ambiente de negocio electrónico abre nuevos riesgos en el manejo de la información de la institución, los cuales deben ser evaluados y manejados apropiadamente

Ecuación del Riesgo

RIESGO = amenazas X vulnerabilidades

• Amenazas INTERNAS Y EXTERNAS

• Vulnerabilidades INTERNAS Y EXTERNAS

• Exposición

• ¡ El riesgo nunca puede ser cero ! Riesgo Residual

Para manejar los riesgos, las empresas buscan tecnologías que se puedan operar de manera segura y

que se ajusten a sus necesidades de negocio

A nivel organizacional

EXTRACTOS DEL LIBRO



13

Vulnerabilidad y Abuso

• Por que son vulnerables?

• Hackers

• Virus

• Preocupaciones de desarrolladores y usuarios

• Problemas de calidad de los sistemas

• Complejidad

• Procedimientos por computadora no siempre son auditados

• Extensión de los efectos de los desastres

• Posible acceso sin autorización

EXTRACTOS DEL LIBRO



14

• Radiación: alterar la grabación de datos

• Hardware: conexiones defectuosas.

• Software: Fallas de protección y control

• Archivos: Robo, copia

• Usuario: Identificación, autenticación, modificaciones al código

• Programador: Desmantelar módulos de protección de fallas y revelar las políticas de

protección.

• Personal de Mantenimiento: “desmantener” al sistema

• Operadores: No notificar de errores que detecta

Incidentes con los Sistemas de Información

• Caídas de sistema

• Vulnerabilidad

• Intencional

• No intencional

• Delitos

• Tipos

• Métodos de ataque

• Leyes

• Delitos de acuerdo a lo que cada ley ESTABLEZCA

Amenazas a los Sistemas Información

• Problemas de Hardware

• Incendios

• Fallas del software

• Problemas eléctricos

• Acciones del personal

• Errores de los usuarios

• Accesos no permitidos

• Cambios en los programas

• Robo de datos

• Problemas en los servicios y equipos de comunicaciones

EXTRACTOS DEL LIBRO



15

Ataques Electrónicos

• Bombas Lógicas: Programa que "detona" cuando se ejecutan ciertas instrucciones, se cumple un

plazo o en un momento especifico

• Sabuesos: Intercepción de telecomunicaciones

• Gusanos: Paralización de los sistemas

• Fusil HERF: High Energy Radio Frequency - intercepción electrónica de equipos para dejarlos

fuera de operación o alteracion remota (ver pelicula “La Emboscada”)

Desastre

• Perdidas de Hardware, Software, Datos, Incendios, Fallas de Energía, Inundación u otra

calamidad.

• Sistemas para tolerar fallas: Backup, particularmente para transacciones on-line

Donde ocurren los errores?

• Preparación de Datos

• Transmisión

• Conversión

• Completar formularios

• Entrada de datos On-Line

• Tipeo

• Otras entradas

• Validación

EXTRACTOS DEL LIBRO



16

• Proceso / Mantenimiento de Archivos

• Salidas

• Transmisión

• Distribución

Problemas de Calidad en los Sistemas

• Software & datos

• Bugs: Errores en el programa

• Mantenimiento: Modificar un Sistema en Producción puede tomar mucho tiempo

• Calidad de Datos: Hallarlos y corregirlos es costoso

Seguridad e Internet

• Encriptado: Codificación de los mensajes para denegar accesos no autorizados.

• Autenticación: Habilidad para identificar a alguien.

• Integridad del los Mensajes

• Firma Digital

• Certificado Digital

• SECURE ELECTRONIC TRANSACTION: Estándar para transacciones con tarjeta de crédito en

Internet

• ELECTRONIC CASH: Moneda electrónica que permite que permanezca anónimo el usuario

Desarrollar una estructura de control

• Costos: Pueden ser caros y complicados.

• Beneficios: Reduce errores, perdida de tiempo, recursos

• Riesgo: Determinar la frecuencia de ocurrencia del problema y los daños que este provoca

• Encriptacion: Codificacion y modificacion de los mensajes para evitar el acceso no autorozado y la

intercepcion.

• Autenticacion: Para identificar lo que envian terceras personas.

• Integridad del mensaje

• Firma digital

• Certificado digital

• Billetera Digital: Software que almacena info de tarjeta credito, debito, ID usuario y se usa en

transacciones e-commerce.

• Secure Electronic Transaction: Standard para transacciones con tarjeta de credito en Internet

• CREDIT CARD-SET: Protocolo de pago seguro.

• ELECTRONIC CASH: Dinero digital

• ELECTRONIC CHECK: Firma digital encriptada.

• SMART CARD: Almacena e-cash

• ELECTRONIC BILL PAYMENT: Transferencias electrónicas p.e. pagomiscuentas.com

EXTRACTOS DEL LIBRO



17

• Sistemas de pago electronico

Abusos por Internet

• Hacking (y sub-clases): Acceder a datos propietarios

• Jamming (bloqueo): Meterse en un Host para “colgarlo”

• Software puro: Virus

• Sniffing (olfateo): Interceptar datos que pasan por un sistema: Tarjetas de Credito

• Spoofing: Representacion fraudulenta de la identidad (robada)

Integridad

Habilidad de asegurar que el soft, las aplicaciones, datos, la conectividad, configuraciones de hard y los privilegios no puedan ser alterados durante su almacenamiento y/o transmisión

Disponibilidad

Garantizar la posibilidad de poder utilizar los elementos de cualquier capa en el momento necesario. (plan de contingencia).

Accesibilidad

Que cada objeto del sistema pueda ser accedido si y solo si el sujeto que lo accede tiene autorización para hacerlo. Una cadena es tan fuerte como su eslabón más débil. “La puerta y la cerradura trabajan en conjunto”

Política de Seguridad

• Debe abarcar y contemplar TODOS los aspectos de la seguridad y del sistema

• Equilibrio en la ecuación Costo = Beneficios

• Definición de estrategias que abarquen

o Valor de la información

o Costo de protegerla

o Costo de perdida

o Nivel físico

o Nivel humano (todos)

o Nivel lógico

o Nivel logístico

Agujeros de Seguridad

• Se manifiestan (en general) de cuatro modos:

• Agujeros de Seguridad Físicos

o El problema potencial es debido al hecho de dar a personas, sin autorización, acceso

físico a la máquina, y que se les permita realizar cosas que no debieran ser capaces de

hacer.

EXTRACTOS DEL LIBRO



18

o Por ejemplo dejar estaciones de trabajo con facilidades de reinicialización en modo

monousuario y rastrear los archivos locales de la estación.

• Agujeros de Seguridad en el Software

o El problema está causado por una mala escritura de partes "privilegiadas" de software

(daemons, cronjobs) que pueden estar comprometidos a realizar tareas que no deberían.

• Agujeros de Seguridad por Incompatibilidades

o El problema se da por falta de experiencia o por descuido del administrador del sistema,

haciendo funcionar software sobre un hardware para el que no está optimizado, dando

lugar a posibles resultados inesperado y fallos que pueden dañar seriamente la seguridad

del sistema.

o Es la incompatibilidad entre software y hardware la que crea agujeros de seguridad.

Son muy difíciles de encontrar una vez que el sistema está montado y funcionando, de

manera que es muy conveniente el leer atentamente la documentación del software y del

hardware que se va a montar (o que pretendemos atacar) y estar muy atento a cualquier

noticia o actualización.

• Elección y Mantenimiento de Filosofía de Seguridad

o El problema es de percepción y el entendimiento.

o Software perfecto, hardware protegido y componentes compatibles no funcionan a menos

que se haya elegido una política de seguridad correcta y que se hayan puesto en marcha

las partes del sistema que la refuerzan.

o Tener el mejor mecanismo de password del mundo es inútil si los usuarios creen que la

última parte del nombre de su login es un buen password!

o La seguridad está relacionada con una política (o conjunto de políticas/normas) y el

funcionamiento del sistema conforme a dicha política.

Bug

• En inglés significa bicho.

• Término que procede desde los albores de la informática, cuando los computadores funcionaban

con relays y lámparas de vacío.

• Uno de los problemas a solucionar era la presencia de insectos que se introducían entre ellos

haciendo contactos indebidos provocando funcionamiento hicieran erróneo.

• Ahora se emplea para identificar las fallas de software.

• A la búsqueda y reparaciones de estas fallos se las denomina debuggers.

Exploit

• Aprovecha vulnerabilidades de los Sistemas Operativos.

• Suele ser un método concreto (forma o programa) de usar un error de algún programa (bug) para

entrar en un sistema informático (por ejemplo, para obtener los privilegios del administrador y así

tener un control total sobre el sistema).

EXTRACTOS DEL LIBRO



19

FRAUDE (s/LEY)

• Art. 173 inc 7 Código Penal: El que por disposición de la ley, de la autoridad o un acto jurídico,

tuviera a su cargo el manejo, la administración o el cuidado de bienes e intereses pecuniarios

ajenos, y con el fin de procurar para sí o para un tercero un lucro indebido o para causar daño,

violando sus deberes perjudicare los intereses confiados u obligare abusivamente al titular de

éstos.

• Conjunto de acciones reñidas con la ética, la moral y en muchas ocasiones con la ley orientadas a

obtener un beneficio para sus autores o terceros, provocando un perjuicio económico a la entidad,

tercero, etc.

Para que haya fraude debe mediar ardid o engaño de aparentar una situación o aprovecharse de

ella, para proceder de manera indebida, conformando ello un delito.

USURPACION DE IDENTIDAD:

Cuando un delincuente sustituye la identidad de una persona por la de él, ya sea: - adulterando/fraguando su documento de identidad. - realizando trámites, transacciones impersonalizadas. - apoderándose de documentación personal de la víctima para utilizarla como ardid de ingeniería social.

DOCUMENTACION APOCRIFA:

Elementos alojados en el legajo de apertura de un producto bancario como respaldo de documentación requerida por política comercial, los cuales luego de contrastar su veracidad, se concluye que los mismos son FALSOS, por ejemplo: - facturas de servicios. - comprobantes de pagos de impuestos. - recibos de sueldo. - contratos de locación, etc. - resúmenes de cuenta de tarjetas de crédito. - poderes, estatutos, etc. - firmas, rúbricas en legajos, etc.

FRAUDE CON INGENIERIA SOCIAL:

Cuando un delincuente mediante mecanismos impersonalizados como ser el teléfono, internet, correo, etc. engaña a una persona y obtiene de ella sin que lo advierta, datos particulares y sensibles de sus cuentas bancarias o de su vida familiar, etc. las cuales luego utiliza en provecho propio de manera delictual y perjudicando a dicha persona.

MAN IN THE MIDDLE:

Variante dentro del fraude con uso de la ingeniería social, por el cual un delincuente se comunica con un cliente haciéndose pasar por el Banco y obtiene datos de éste, y luego (o visceversa) se comunica con el Banco haciéndose pasar por el cliente. De esa forma hace un trabajo de engaño con ambas puntas, y una vez que obtuvo la información, acceso o permiso necesario para perpetrar su delito, lo ejecuta. El Banco piensa en todo momento que está hablando con el cliente y éste piensa lo mismo, a

la inversa.

EXTRACTOS DEL LIBRO



20

Denegación de Servicio

En ingles Denial Of Service (DoS). Incidente en el cual un usuario o una organización se ven privados de un recurso que normalmente podrían usar. Habitualmente, la pérdida del servicio supone la indisponibilidad de un determinado servicio de red, como el correo electrónico, o la pérdida temporal de toda la conectividad y todos los servicios de red. En los peores casos, por ejemplo, un sitio web accedido por millones de personas puede verse forzado temporalmente a cesar de operar. Un ataque de denegación de servicio puede también destruir programas y archivos de un sistema informático. Aunque normalmente es realizado de forma intencionada y maliciosa, este tipo de ataques puede también ocurrir de forma accidental algunas veces. Si bien no suele producirse robo de información estos ataques pueden costar mucho tiempo y dinero a la persona u organización afectada.

PGP

Pretty Good Privacy - Privacidad Bastante Buena. Conocido programa de libre distribución, escrito por Phil Zimmermann, el cual impide, mediante técnicas de criptografía, que archivos y mensajes de correo electrónico puedan ser leídos por otros. Su finalidad es proteger la información distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar la autenticación de

documentos gracias a firmas digitales.

Pharming

Se denomina Pharming al acto de explotar una vulnerabilidad en el software de un servidor de DNS, que permite que una persona se "adueñe" del dominio de un website, por ejemplo, y redirija el trafico hacia otro sitio.

Phishing

• "Phishing" (pronunciado como "fishing", "pescar" en inglés) se refiere a comunicaciones

fraudulentas diseñadas para inducir a los consumidores a divulgar información personal, financiera

o sobre su cuenta, incluyendo nombre de usuario y contraseña, información sobre tarjetas de

crédito, entre otros.

• El correo electrónico comúnmente es utilizado como una herramienta de "phishing" debido a su

bajo costo, mayor anonimato para quien lo envía, la habilidad de alcanzar instantáneamente a un

grupo grande de usuarios, y el potencial de solicitar una respuesta inmediata.

• Sin embargo, los estafadores también han usado ventanas "pop-up", correo directo y llamadas

telefónicas.

• Este tipo de correos electrónicos generalmente parecen provenir de instituciones financieras,

compañías de seguros o minoristas legítimos.

• Técnicas tales como una dirección "De" o "From" falsa, el uso de logos aparentemente auténticos

de instituciones financieras, o gráficos y ligas a sitios, suelen ser usados para engañar a los

clientes y hacerles creer que están tratando con un pedido legítimo acerca de su información

personal.

• Estos correos electrónicos fraudulentos usualmente crean un falso sentido de urgencia destinado a

provocar que el destinatario tome una acción inmediata; por ejemplo, frecuentemente invitan a los

destinatarios a validar o actualizar información de su cuenta, o a llevar a cabo una cancelación.

• Este tipo de delito informático se lo conoce como “phishing”, y consiste en el envío de correos

electrónicos, en los cuales el destinatario cree que el remitente se trata de una entidad reconocida

EXTRACTOS DEL LIBRO



21

y seria (usualmente bancos u organizaciones como el Consejo), en los que se solicita al usuario

que por unos u otros motivos actualice o verifique sus datos de cliente a través, normalmente, de

un enlace a una página que simula ser de la entidad suplantada.

• Una vez que el usuario remite sus datos, los estafadores pueden proceder a operar con los

mismos.

• La intención de estos delincuentes cibernéticos es adquirir información confidencial de forma

fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u

otra información bancaria).

• El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en

una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema

de mensajería instantánea o incluso utilizando también llamadas telefónicas.

• El envío de un email solicitando el cambio de datos no es la forma habitual de actuar en

organizaciones como nuestro Consejo, por lo que cualquier notificación por este medio que se

reciba se recomienda que se verifique antes de hacer nada poniéndose en contacto con nosotros.

Phreaker

Persona que hackea las redes telefónicas ajenas para evitar pagar llamadas a larga distancia. Con la voz sobre Ip (voip), entre otras tecnologías, esta practica debe ser cosa del pasado. Es más barato

usar el internet.

Spoofing

Procedimiento que cambia la fuente de origen de un conjunto de datos en una red, por ejemplo, adoptando otra identidad de remitente con el fin de engañar a un servidor firewall.

Usuarios roles y permisos

• Un punto crítico en los sistemas es el de los permisos y es importante disponer de algun mecanismo que permita establecer que operaciones podrá realizar cada usuario.

• El objetivo es evitar que, por accidente o de forma intencionada, un usuario pueda realizar operaciones que comprometan la integridad y funcionamiento del sistema.

• Para este fin, se utiliza un sistema de roles, permisos y usuarios.

• Entendemos por usuario a cualquier persona que accede al sistema. Los usuarios se pueden agrupar en roles en función de las operaciones que se les permite realizar. Es decir, que cada rol se caracteriza por disponer de una serie concreta de permisos.

• Se entiende por permiso la posibilidad de ejecutar determinadas operaciones o no sobre los diferentes elementos del sistema.

• Se pueden crear los roles que se quiera, pero por lo general se suelen definir los siguientes:

• Visitante: usuario que simplemente podrá leer o buscar en los contenidos

• Usuarios regulares: se le permiten ciertos accesos para su trabajo diario.

• Supervisores: Roles que permiten ver lo que hacen ciertos usuarios y autorizar sus transacciones

• Editores/Parametrizadores: gestiona a los usuarios y todos los contenidos del sistema.

• Administrador: es el responsable técnico y a veces funcional y puede acceder a cualquiera de los aspectos del sistema, configurando o modificando cualquier parámetro de éste. Este usuario tiene control total sobre el mismo, por lo que puede realizar cualquier operación de configuración o mantenimiento sobre este.

EXTRACTOS DEL LIBRO



22

Control

“El empleado solo hace lo que el jefe controla”

Controles

• Físicos

• De acceso

• Seguridad de Datos

• Comunicaciones

• Administrativos

Idealmente deberían ser PREVIOS / EN LA TRANSACCION y POST-TRANSACCION

Seguridad por Controles Físicos

• Keys (llaves, tarjetas)

• Locks (teclado)

• Antropométricas

• Voz

• Huellas Dactilares

• Scanning del Iris

Controles de acceso

• Algo que se “conoce”

o Password

• Algo que se “tiene”

o Smart card o token

• Algo que se “es”

o Firma, voz, huella dactilar, scanneo retina

Actualmente se combinan las 3

Controles Biométricos

• Foto (cambia con la edad)

• Huella dactilar (modificable)

• Geometría de la mano (cambia)

• Retina

• Voz (resfrió, laringitis, etc.)

• Firma (Nunca “sale” igual)

EXTRACTOS DEL LIBRO



23

Estrategia Defensiva

Seguridad de Datos

• Confidencialidad

• Acceso (eyes only)

• Integridad del empleado

Comunicación

• Formas de Control

• Paridad de datos

• Disparidad de datos

• CRC

• Encriptación

• Validación

Controles Administrativos

• Apropiada selección, capacitación y supervisión de los empleados.

EXTRACTOS DEL LIBRO



24

• Lealtad a la empresa

• Revocación inmediata de privilegios a empleados desvinculados o transferidos.

• Modificación periódica de la forma de acceso

• Estándares

• Separación de funciones

• Auditorias periódicas

• Oportunidad para los de Ciencias Económicas, en áreas de Auditoria Interna

Controles de Aplicación

• Entrada

• Procesos

• Salida

• Son las distintas “validaciones”

AMBIENTE DE CONTROL

• El ambiente de control define al conjunto de circunstancias que enmarcan el accionar de una

entidad desde la perspectiva del control interno y que son por lo tanto determinantes del grado en

que los principios de este último imperan sobre las conductas y los procedimientos

organizacionales.

• Es, fundamentalmente, consecuencia de la actitud asumida por la alta dirección, la gerencia, y por

carácter reflejo, los demás agentes con relación a la importancia del control interno y su incidencia

sobre las actividades y resultados.

• Fija el tono de la organización y, sobre todo, provee disciplina a través de la influencia que ejerce

sobre el comportamiento del personal en su conjunto.

• Constituye el andamiaje para el desarrollo de las acciones y de allí deviene su trascendencia, pues

como conjunción de medios, operadores y reglas previamente definidas, traduce la influencia

colectiva de varios factores en el establecimiento, fortalecimiento o debilitamiento de políticas y

procedimientos efectivos en una organización.

• Los principales factores del ambiente de control son:

o La filosofía y estilo de la dirección y la gerencia.

o La estructura, el plan organizacional, los reglamentos y los manuales de procedimiento.

o La integridad, los valores éticos, la competencia profesional y el compromiso de todos los

componentes de la organización, así como su adhesión a las políticas y objetivos

establecidos.

o Las formas de asignación de responsabilidades y de administración y desarrollo del

personal.

• El grado de documentación de políticas y decisiones, y de formulación de programas que

contengan metas, objetivos e indicadores de rendimiento.

EXTRACTOS DEL LIBRO



25

• En las organizaciones que lo justifiquen, la existencia de consejos de administración y comités de

auditoría con suficiente grado de independencia y calificación profesional.

• El ambiente de control reinante será tan bueno, regular o malo como lo sean los factores que lo

determinan.

• El mayor o menor grado de desarrollo y excelencia de éstos hará, en ese mismo orden, a la

fortaleza o debilidad del ambiente que generan y consecuentemente al tono de la organización.

Crear un Ambiente de Control

• Controles: Métodos, Políticas, Procedimientos para proteger activos, exactitud, confiabilidad de los

registros y adhesión a las políticas corporativas

• Generales

• Aplicaciones

• Organización y Metodos

Control en los Sistemas de Información

• Ubicación

• El costo del control

• Como se controla

• Lo hace una persona, un sistema o ambos en conjunto?

Tipos de control

• Areas de control: recursos físicos/ información/recursos financieros/ recursos humanos.

• Niveles de control: Operaciones y Finanzas/Estructural/ Estratégico.

• Responsabilidades del control: Gerentes/ Controller / Empleados en gral.

• Controller: ayuda a los empleados de línea en actividades de control, coordinando y recolectando

información necesaria

Pasos del control

• Fijar standard

• Medir rendimiento

• Comparar rendimiento con standard

• Determinar acción correctiva

• Comparar lo anterior con el ciclo PDCA.

EXTRACTOS DEL LIBRO



26

Conceptos De Control En Los Sistemas Computarizados

• El control de un sistema computarizado puede expresarse como un plan destinado a asegurar que

solo los datos validos sean aceptados, procesados completa y exactamente y que prevea la

información y los registros necesarios.

• Existen varios ambientes de control relativos a una aplicación:

o CONTROL DE PERSONAL.

o CONTROL DE LAS APLICACIONES.

o SEGURIDAD EN LAS INSTALACIONES DE COMPUTO

Ubicación De Los Controles En Un Sistema De Información

• Los controles a las aplicaciones comprende tanto los procedimientos automáticos como los

manuales:

• Los procedimientos automáticos incluyen la entrada de datos realizada en las áreas usuarias

externas a la de procesamiento de datos, así como los procedimientos computarizados que

controlan el flujo de datos dentro del sistema.

• Los procedimientos manuales se aplican en las áreas usuarias y son desarrollados para asegurar

que las transacciones del procesamiento de datos sean correctamente preparados, autorizados y

procesados.

• El flujo de transacciones en el sistema de aplicaciones comprende seis pasos:

o Origen.

o Entrada de datos para procesamiento.

o Comunicación.

o Procesamiento.

o Almacenamiento y recuperación.

o Salida.

• Origen De La Transacción

o Este control es necesario para asegurar que los datos estén completos y sean exactos

antes de ser ingresados a los sistemas computarizados.

o Origen del documento fuente

o Autorización

o Reparación para la entrada del procesamiento de datos

o Retención de documentos fuentes

o Manejo de errores en documentos fuentes.

• Entrada De Datos Para Procesamiento

o Este control debe garantizar que al momento de entrar los datos a las aplicaciones, estos

sean completos y exactos. esto se logra con una combinación de controles manuales y

automáticos.

▪ ENTRADA DE DATOS.

▪ VALIDACIÓN DE DATOS.

▪ MANEJO DE ERRORES.

EXTRACTOS DEL LIBRO



27

▪ Para desarrollar controles a la entrada de los datos, se debe tener en cuenta:

• EL proceso de entrada sea realizado completamente para todos los

datos fuentes recibidos.

• Que se permita validación optima de los datos fuente.

• Que los procedimientos de entrada permita detectar y corregir errores y

su posterior reproceso.

• Comunicación

o Asegurar la integridad de datos mientras son transmitidos por línea de comunicación.

o MENSAJES DE ENTRADA.

o MENSAJES DE TRANSMISIÓN.

o MENSAJES DE RECEPCIÓN.

▪ para desarrollar controles a la comunicación de datos, se debe tener en cuenta:

▪ Asegurar que los controles adecuados para comunicación de datos estén

operando para cada sistema de aplicación y afectan los datos trasmitidos dentro

de la organización y los trasmitidos sobre portadoras comunes.

▪ Verificar que los controles en uso funcionen correctamente.

▪ Identificar y satisfacer los requerimientos de cambio de los controles de

comunicación de datos.

• Procesamiento

o Controles para asegurar la integridad de procesamiento y manejo de errores.

o IDENTIFICACIÓN DE TRANSACCIONES

o MANTENIMIENTO DE ARCHIVOS

o REPORTE DE ERRORES Y CORRECCIONES.

o Para desarrollar controles al procesamiento de datos, se debe tener en cuenta:

▪ Verificar que todas las transacciones son convertidas en entradas para proceso

▪ Verificar totales de control significativos

▪ Verificar el procesamiento usando técnicas de prueba validas

▪ Verificar que los controles de proceso no puedan ser saltados

▪ Verificar que el principio de separación de funciones es usado en la operación

del computador.

• Almacenamiento Y Recuperación

o Estos controles son necesarios para asegurar que datos correctos y completos son

mantenidos correctamente durante periodos de tiempo definidos. la validez y exactitud de

los datos depende únicamente de la funcionalidad de los controles en el procesamiento.

o MANEJO DE ARCHIVOS:

o LIBRERÍAS,

o BIBLIOTECAS,

o BASES DE DATOS,

o ACCESOS A ARCHIVOS,

o MANTENIMIENTO DE ARCHIVOS,

o BACKUPS

o MANEJO DE ERRORES:

EXTRACTOS DEL LIBRO



28

o REPORTES Y CORRECCIONES DE ERRORES.

o Para desarrollar controles para el almacenamiento y recuperación, se debe tener en

cuenta:

▪ Se deben proveer facilidades y procedimientos para protección de archivos de

datos y programas contra perdida, destrucción o cambios no autorizados.

▪ Los procedimientos deben permitir máxima facilidad de uso de archivos y

programas

▪ Proveer facilidades y procedimientos de respaldo y reconstrucción de archivos

▪ Proveer procedimientos que permitan la detención de errores, su corrección y

posterior reproceso.

• Salida.

o Estos controles aseguran la integridad de los datos desde el fin del procedimiento, hasta

la llegada de los datos al usuario. asegurar que la información procesada incluya datos

autorizados, completos y exactos.

o Balance y conciliación de información.

o Distribución de datos de salida.

o Control de registro de documentos.

o Manejo de errores.

o Para desarrollar controles al proceso de salida, se debe tener en cuenta:

▪ Utilizar los totales de control a la salida de datos.

▪ Control la distribución de los reportes después de que son impresos.

▪ Asegurar que los datos procesados son únicamente los autorizados.

▪ Seguridad De Un Sistema De Información

La seguridad en los sistemas de información puede definirse como la resultante de los siguientes componentes.

Controles de seguridad física y funcional.

• Esta dado por los controles que protegen a los equipos de computo y los datos contra:

• Robo

• Divulgación no autorizada de la información

• Modificaciones no autorizadas de la información

• Destrucciones no autorizadas de la información

• Las técnicas para seguridad incluyen:

o Medios físicos para salvaguardar el ambiente.

o Procedimientos manuales.

o Rutinas de programas

o Seguridad del sistema operacional.

o Políticas de personal.

Control De Exactitud.

EXTRACTOS DEL LIBRO



29

• La exactitud esta dada por los controles para evitar errores en los datos de entrada y minimizar la

posibilidad de error adicionales durante el procesamiento de los datos.

o Procesos de validación de datos.

o Totales de control.

o Cruce de información de diferentes fuentes.

Controles De Confidencialidad:

• Se refiere a los mecanismos necesarios para asegurar que la información se reciba y utilice

únicamente por las personas autorizadas para ello:

o Proceso de identificación de usuarios.

o Definición de control de acceso por opción.

o Registro de pistas de transacciones.

o Software de seguridad.

o Normas o perfiles de acceso.

o Control de acceso a los datos o programas a través de restricciones lógicas.

o Dispositivos de seguridad de terminales.

Localización de los Controles

Control: se define como Control a cualquier medida de protección orientada a asegurar que se preserve la Confidencialidad, Disponibilidad e Integridad de los Activos de Información. Algunos ejemplos de controles son:

▪ Segregación de funciones. ▪ Respaldo de información. ▪ Sistemas de detección y extinción de incendio. ▪ Chequeo de acceso a lugar restringido. ▪ Resguardo de material peligroso (identificación por etiquetado, lugar de almacenamiento)

Control Preventivo: su propósito es impedir eventos que afecten la Confidencialidad, Integridad y

Disponibilidad de los Activos de Información. Por ejemplo:

▪ Contraseñas ▪ Lista de control de Acceso ▪ Cortafuegos ▪ Encriptación ▪ Capacitación de los usuarios

Control Recuperativo: está orientado a restaurar rápidamente los servicios y corregir el efecto de los incidentes de seguridad, así como facilitar su investigación. Por ejemplo:

▪ Respaldo de datos ▪ Soporte 7 x 24 ▪ Planes de contingencia ▪ Plan de continuidad del Negocio

EXTRACTOS DEL LIBRO



30

Control Detectivo: está diseñado para detectar intentos de penetrar las barreras de seguridad implementadas, o el uso inapropiado de los activos de información. Por ejemplo:

▪ Auditorías ▪ Monitoreo del uso de recursos ▪ Revisión de registro de eventos o incidentes. ▪ Sistemas de detección de intrusos(IDS)

Delitos Informáticos

• Hasta el presente tomamos conocimiento de distintos hechos delictivos cometidos mediante el uso

de sistemas de información automática (informática), mencionándolos como "delitos informáticos".

• En realidad, jurídicamente hablando, éstos fueron considerados como delitos comunes.

• Ampliando la definición, se dice que para que exista delito es necesario que la acción reprochable

esté prevista por la legislación con anterioridad a su cometido.

• El concepto de "delito informático", si bien se entiende como el delito cometido en un ambiente de

computación, se puede decir que es judicialmente "erróneo", dado que la mayoría de los hechos

son estafas, defraudaciones y hasta hurto cometidos con una nueva herramienta humana: la

computadora, y no es posible calificar el delito por el medio usado.

• Este nuevo medio que utiliza el hombre ha penetrado en todo el espectro de la vida, y existen

tareas que ya son imposibles de desarrollar sin sistemas o computadoras.

• Delitos informáticos son todas aquellas conductas ilícitas susceptibles de ser sancionadas por el

derecho penal, que hacen uso indebido de cualquier medio Informático.

El delito Informático implica actividades criminales que un primer momento los países han tratado

de encuadrar en figuras típicas de carácter tradicional, tales como robo, hurto, fraudes,

falsificaciones, perjuicios, estafa, sabotaje, etc., sin embargo, debe destacarse que el uso indebido

de las computadoras es lo que ha propiciado la necesidad de regulación por parte del derecho.

• Fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud. La definición

de Delito puede ser más compleja. Muchos estudiosos del Derecho Penal han intentado formular

una noción de delito que sirviese para todos los tiempos y en todos los países. Esto no ha sido

posible dada la íntima conexión que existe entre la vida social y la jurídica de cada pueblo y cada

siglo, aquella condiciona a ésta.

• El delito es un acto humano, es una acción (acción, inacción u omisión)

• Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés

jurídicamente protegido.

• Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico.

• El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es

imputable cuando puede ponerse a cargo de una determinada persona

• La ejecución u omisión del acto debe estar sancionada por una pena.

• Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado, culpable y

sancionado por una pena.

EXTRACTOS DEL LIBRO



31

• Se podría definir el delito informático como toda acción (acción u omisión) culpable realizada por

un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o

que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa

o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está

sancionado con una pena.

Tipos de delitos informáticos reconocidos por Naciones Unidas

Fraudes cometidos mediante manipulación de computadoras

Manipulación de los datos de entrada

• Este tipo de fraude informático conocido también como sustracción de datos, representa el delito

informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de

conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las

funciones normales de procesamiento de datos en la fase de adquisición de los mismos.

La manipulación de programas

• Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener

conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas

existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un

método común utilizado por las personas que tienen conocimientos especializados en

programación informática es el denominado Caballo de Troya, que consiste en insertar

instrucciones de computadora de forma encubierta en un programa informático para que pueda

realizar una función no autorizada al mismo tiempo que su función normal.

Manipulación de los datos de salida

• Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es

el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones

para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían

a base de tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipo y

programas de computadora especializados para codificar información electrónica falsificada en las

bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.

Fraude efectuado por manipulación informática

• Aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica especializada

que se denomina "técnica del salchichón" en la que "rodajas muy finas" apenas perceptibles, de

transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra.

Falsificaciones informáticas.

• Como objeto

o Cuando se alteran datos de los documentos almacenados en forma computarizada.

• Como instrumentos

o Las computadoras pueden utilizarse también para efectuar falsificaciones de

documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras

EXTRACTOS DEL LIBRO



32

computarizadas en color a base de rayos láser surgió una nueva generación de

falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias

de alta resolución, pueden modificar documentos e incluso pueden crear documentos

falsos sin tener que recurrir a un original, y los documentos que producen son de tal

calidad que sólo un experto puede diferenciarlos de los documentos auténticos.

Daños o modificaciones de programas o datos computarizados.

Sabotaje informático

• Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con

intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer

sabotajes informáticos son:

Virus

• Es una serie de claves programáticas que pueden adherirse a los programas legítimos y

propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto

de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método

del Caballo de Troya.

Gusanos

• Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de

procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no

puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno,

mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano

pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que

subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para

que transfiera continuamente dinero a una cuenta ilícita.

Bomba lógica o cronológica

• Exige conocimientos especializados ya que requiere la programación de la destrucción o

modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los

gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los

dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial

de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga

lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede

utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a

conocer el lugar en donde se halla la bomba.

Acceso no autorizado a servicios y sistemas informáticos

• Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas informáticos

(hackers) hasta el sabotaje o espionaje informático.

Piratas informáticos o hackers

EXTRACTOS DEL LIBRO



33

• El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones,

recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede

aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir

deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo,

los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con

frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o

contraseñas de mantenimiento que están en el propio sistema.

Phishing:

• Este tipo de delito informático se lo conoce como “phishing”, y consiste en el envío de correos

electrónicos, en los cuales el destinatario cree que el remitente se trata de una entidad reconocida

y seria (usualmente bancos u organizaciones como el Consejo), en los que se solicita al usuario

que por unos u otros motivos actualice o verifique sus datos de cliente a través, normalmente, de

un enlace a una página que simula ser de la entidad suplantada. Una vez que el usuario remite

sus datos, los estafadores pueden proceder a operar con los mismos.

• La intención de estos delincuentes cibernéticos es adquirir información confidencial de forma

fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u

otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o

empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo

electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas

telefónicas.

• El envío de un email solicitando el cambio de datos no es la forma habitual de actuar en

organizaciones como nuestro Consejo, por lo que cualquier notificación por este medio que se

reciba se recomienda que se verifique antes de hacer nada poniéndose en contacto con nosotros.

Reproducción no autorizada de programas informáticos de protección legal

• Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas

jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones

penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas

reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al

respecto, consideramos, que la reproducción no autorizada de programas informáticos no es un

delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual.

Conceptos de Delito

Los delitos informáticos presentan las siguientes características principales:

• Son conductas criminales de cuello blanco (white collar crime), en tanto que sólo un determinado número de personas con ciertos conocimientos (en este caso técnicos) puede llegar a cometerlas.

• Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se halla trabajando.

• Son acciones de oportunidad, ya que se aprovecha una ocasión creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico.

EXTRACTOS DEL LIBRO



34

• Provocan serias pérdidas económicas, ya que casi siempre producen "beneficios" de más de cinco cifras a aquellos que las realizan.

• Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse.

• Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho.

• Son muy sofisticados y relativamente frecuentes en el ámbito militar.

• Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico.

• Tienden a proliferar cada vez más, por lo que requieren una urgente regulación. Por el momento siguen siendo ilícitos impunes de manera manifiesta ante la ley.

Delitos informáticos Mundialmente Tipificados

• Pornografía infantil por Internet u otros medios electrónicos

• Violación, apoderamiento y desvío de comunicación electrónica

• Intercepción o captación de comunicaciones electrónicas o telecomunicaciones

• Acceso o modificación a una base de datos personales

• Publicación de una comunicación electrónica (Wikileaks?)

• Acceso a un banco de datos personales

• Revelación de información registrada en un banco de datos personales

• Inserción de datos falsos en un archivo de datos personales

• Fraude informático

• Daño o sabotaje informático

Diferencias con los delitos “reales”

▪ Frecuentemente su tipicidad es poco clara: legalidad

▪ Son potencialmente muy lesivos (proporción medios /resultados): bien jurídico

▪ Suelen ser cometidos a distancia (problemas de jurisdicción): principio de ubicuidad - territorialidad

delitos de expresión

▪ Dificultad probatoria (rastros escasos): formas de cooperación.

Piratería De Software

• La comercialización de software pirata es un delito penal reprimido por la ley de Derechos de Autor

11.723, la que por medio de la reciente reforma incluye expresamente al software,

independientemente de la plataforma en la cual dicho programa se ejecuta.

• Ya no existe ninguna duda acerca de la protección civil y penal del software por la ley de Derechos

de Autor y la posibilidad de los productores, distribuidores, licenciatarios y derechohabientes de

EXTRACTOS DEL LIBRO



35

perseguir penalmente la copia ilegal de sus productos. Las infracciones a esta ley pueden

acarrear a sus responsables penas de hasta 6 años de prisión.

• Lo que la ley está protegiendo es el contenido, la obra creada, el derecho de autor; y lo protege en

forma amplia: prohíbe la reproducción o edición, distribución o venta bajo cualquier forma, sin

tener el derecho respectivo para hacerlo, permitiendo luchar contra la apropiación indebida de

software por quienes lucran con la creación ajena.

• CASDI, Cámara del Software Digital Interactivo, es una asociación civil sin fines de lucro cuya

actividad está orientada a fortalecer y optimizar las condiciones de nuestro mercado para un mejor

desarrollo del software multimedia. Por ello, ha iniciado una fuerte campaña antipiratería en

defensa de los derechos de propiedad intelectual que incluye también a videoclubes.

• Siendo de público conocimiento la existencia de las copias y falsificaciones, es imposible para un

comerciante el pretender escudarse en una supuesta buena fe respecto de la compra y

comercialización de dichos productos.

Leyes de Protección

• El software, así como otras tantas obras e invenciones del hombre, forma parte de lo que se llama

"propiedad intelectual", es decir, bienes intangibles que merecen ser protegidos por una ley ya que

responden al ingenio, esfuerzo y trabajo intelectual de su autor, quien posee el derecho a ser

remunerado por dicho esfuerzo, y debe gozar de la seguridad de que su obra, no será utilizada por

otras personas para lucrar con el trabajo ajeno.

• La Constitución Nacional de la República Argentina reconoce y protege el derecho de los autores e

inventores sobre sus creaciones y obras (artículo 17). Por ser el software una creación, una obra

intelectual como tal, está protegida por la ley 11.723 de la Propiedad Intelectual.

• Según el artículo 2 de la ley 11.723, el titular de los derechos sobre una obra tiene las facultades

de disponer de ella, de publicarla, autorizar su reproducción en cualquier forma, etc. Por lo tanto,

todo aquello que signifique una reproducción del software que no cuente con la expresa

autorización del autor, significa una infracción a sus derechos, y constituye un delito a esa ley, la

que especifica que la pena será aquella aplicable al delito de estafa, que es de 1 mes a 6 años de

prisión.

• Confirmando una larga posición jurisprudencial y doctrinaria, el software fue incluido expresamente

dentro del alcance de dicha ley en virtud del Decreto 165/94. Así, según lo establecido, la Ley de

Propiedad Intelectual se infringe si se verifica cualquiera de las siguientes conductas:

• Copia o distribución de software sin haber adquirido las licencias correspondientes

• Utilización del software en más computadoras de las que autoriza la/s licencia/s

• Préstamo o renta del software para que éste pueda ser copiado o distribuido

• Quitar los medios técnicos aplicados para proteger el software

• Esto es así como aquel que emplee software que no esté debidamente licenciado y que no goce

del consentimiento firme y claro de quien es el titular de los derechos, incurre en responsabilidad

civil según la cual nace la obligación de indemnizar, y su actuar debe considerarse delictivo ya que

EXTRACTOS DEL LIBRO



36

dicha violación de los derechos está así prescripta en la ley 25.036 que, aclarando definitivamente

cualquier interpretación errónea, asegura en su artículo 1ƒ:

- "Modificase el artículo 1ƒ de la ley 11.723 el que quedará redactado de la siguiente

manera: Artículo 1ƒ: A los efectos de la presente ley, las obras científicas, literarias y

artísticas comprenden los escritos de toda naturaleza y extensión, entre ellos los

programas de computación fuente y objeto; las compilaciones de datos o de otros

materiales; las obras dramáticas, composiciones musicales, dramático-musicales; las

cinematográficas...."

EXTRACTOS DEL LIBRO



37

Backup

• Dado que resulta prácticamente imposible, debido a limitaciones tecnológicas y sobre todo

financieras, almacenar en copias de respaldo todos los datos que posee una organización para su

recuperación y disposición inmediata, es necesario clasificar los datos de acuerdo al grado de

importancia para las funciones básicas de la organización.

De este modo los datos pueden clasificarse de 3 formas:

1. Datos críticos: Corresponden a los datos sin los cuales la organización no puede continuar con sus operaciones.

2. Datos necesarios: Se encuentran en esta categoría todos los demás datos que son necesarios para la compañía pero no de forma inmediata ya que las operaciones no se paralizarían sin ellos, al menos no en el corto plazo.

3. Datos innecesarios o fuera de respaldo: Son los datos que en el caso de que se pierdan no hay necesidad de recrearlos.

• Una vez identificados los diferentes datos críticos se debe determinar cuanto tiempo puede seguir

operando el negocio sin cada uno de ellos, y así determinar el Tiempo de Recuperación Requerido

para cada dato. En este punto es importante evitar clasificar todos los tipos de datos como que

requieren recuperación inmediata ya que en muchos casos no lo son realmente y esto lleva a un

desperdicio innecesario de recursos. Esto es, cuanto mayor sea la velocidad a la que se necesiten

recuperar los datos, mayor será el costo de la protección.

• El backup en cinta es el método tradicional de almacenamiento de datos de respaldo. Mediante

este sistema un dispositivo de almacenamiento en cinta es conectado a un servidor y con la ayuda

de un software especifico se realizan copias de respaldo de los datos del servidor a cinta con una

periodicidad programada. Las cintas son cambiadas por un empleado de la compañía asignado a

tal efecto y las cintas viejas son almacenadas en un deposito fuera de la compañía. Para recuperar

datos, la cinta que los contiene es buscada en el depósito y llevada nuevamente a la organización

donde se procede a la extracción de los archivos.

• El avance en las tecnologías de almacenamiento de datos permite hoy en día, y seguramente se

establecerá como estándar en el mediano plazo, la implementación de dispositivos de

almacenamiento ópticos (DVDr) que reemplazaran a la cinta debido a la gran capacidad, creciente

velocidad y cada vez menor costo así también como su alta confiabilidad y duración ya que

prácticamente no se deterioran con el paso del tiempo.

• Ventajas: Almacena datos fuera de la compañía para protegerlos contra robos y desastres dentro

de la misma y provee un archivo de datos previos.

• Desventajas: El almacenamiento en cinta no es del todo confiable. Además requiere intervención y

monitoreo constante de personas. Por otro lado al estar almacenadas en otro lugar, en el caso de

necesitar recuperar datos en forma urgente, es decir, en el momento, la limitación de la distancia

demora el proceso.

• Entre ellas se encuentran los métodos en los que se utilizan RAIDs para replicar los datos

contenidos en un disco primario y almacenarlos en un disco secundario dentro de la organización

copiándolos continuamente, creando de este modo una imagen idéntica de los datos originales. De

EXTRACTOS DEL LIBRO



38

esta forma si el dispositivo de almacenamiento principal sufriera algún desperfecto, la organización

podría seguir operando utilizando los datos duplicados en los dispositivos de almacenamiento de

respaldo.

• Ventajas: Provee una copia de los datos críticos actuales que pueden estar disponibles en forma

inmediata. También reduce la principal causa de perdida de datos, las fallas del hardware.

• Desventajas: Se limita a proteger contra fallas del hardware. Si un dato original es borrado o

corrompido, el daño se duplicará en la copia de respaldo y no se podrá revertir.

Replicación Off-Site

• Este método utiliza software de replicación y una conexión de red para copiar los datos de un

servidor original a uno ubicado fuera de la organización donde es guardado como copia de

respaldo. Los datos se transmiten vía Internet o una conexión de red privada entre los dos lugares.

• Ventajas: Provee una copia de los datos críticos actuales los cuales se almacenan fuera de la

organización, protegiéndolos de daños físicos. Los datos están disponibles en forma inmediata.

También reduce la principal causa de perdida de datos, las fallas del hardware.

• Desventajas: El costo del hardware y el software puede ser demasiado elevado y como en la

redundancia de datos si un dato original es borrado o corrompido, el daño se duplicará en la copia

de respaldo y no se podrá revertir.

Servicio de Administración de Backup Online o en la nube

• Esta solución combina aspectos del backup en cinta y la replicación off-site brindando una solución

tercerizada. En primer lugar se replican los datos a través de Internet mediante una conexión de

banda ancha, en un servidor que esta ubicado fuera de la organización y que pertenece a quien

brinda el servicio. Los datos del servidor de respaldo son archivados en cinta en intervalos

regulares y son almacenados en lugares seguros. La recuperación de datos puede realizarse en

forma inmediata a través de la misma conexión a internet.

• Ventajas: Permite el acceso tanto a datos recientemente copiados como a datos históricos. Los

datos son almacenados off-site, pero pueden ser recuperados en minutos. Los backups se realizan

en forma automática lo cual no permite que se produzcan errores por la intervención de humanos.

• Desventajas: Requiere una conexión con un ancho de banda suficiente. Para mas de 20 GB de

datos es necesaria una conexión T1, para las menores alcanza con una DSL. Si se necesita un

ancho de banda superior para usar el servicio, el costo total puede ser muy elevado.

El costo de no hacer backup

• Una posibilidad diaria: que ocurra un desastre. Y actualmente, puede ocurrir. Incluso muy

frecuentemente ocurre la pérdida de archivos aislados. El costo de recuperar esos datos puede ser

muy significativo. La pérdida de archivos y datos, implica una gran pérdida de tiempo y también la

EXTRACTOS DEL LIBRO



39

pérdida de negocios o clientes en situaciones críticas o si no puede encontrar la información

cuando la necesita.

• La mayoría de las personas conocen a alguien que ha perdido los datos. El costo de rehacer los datos perdidos puede ser muy significativo.

• Cuando se pierden datos, de una manera u otra hay formas de recuperarlos. Por ejemplo, la información que tiene copias en papel, puede ser retipeada. Incluso algunos archivos pueden estar compilados en otro medio; sin embargo, las actualizaciones realizadas se habrán perdido.

• Anualmente, en USA se gastan millones de dólares en rehacer la información perdida. Incluso, hay empresas especializadas en regenerar archivos y datos dañados desde el medio de almacenamiento dañado. Este método es costoso en tiempo y dinero, pero afortunadamente muchas veces se logra recuperar los datos. En otros casos los datos se pierden definitivamente ya sea porque no hay copias existentes o porque la cantidad de datos perdidos es tanta que es imposible recuperarlos. Sólo la imaginación pone límite a las consecuencias posibles de perder información.

• He ahí su red. Archivos dañados o un crash de disco pueden dejar knock out a su red. El tiempo de baja puede significar cientos o miles de dólares de pérdida. Sin una rutina apropiada de backup y recuperación, el tiempo perdido puede ser más que grave.

Clasificaciones de Backup

De acuerdo a como se realice el método de backup pueden diferenciarse varias clasificaciones las

cuales no son excluyentes entre si, sino mas bien complementarias.

Según cantidad relativa de datos

• Backup completo, diferencial o incremental.

• Se pueden combinar de varias formas. Siempre debería guardarse un backup completo off-site.

• En un backup completo se almacenan la totalidad de los datos necesarios de una organización.

• En un backup diferencial se guardan todos los datos que fueron modificados desde que se realizo

el ultimo backup completo o incremental.

• En un backup incremental se guardan todos los datos que fueron modificados desde que se

realizo el ultimo backup haya sido este completo, diferencial o incluso incremental. La ventaja del

backup incremental es que es mas rápido que los demás, pero en el momento de la recuperación

de datos será mas lento el proceso.

Según la periodicidad con que se realiza

• Puede ser semanal, diaria, por hora, etc.

• La periodicidad con que se realicen las copias de respaldo estará dadas por las necesidades

especificas de cada compañía. Tal vez sea innecesario para una compañía pequeña realizar

backups completos todos los días. Podría, en cambio, realizar backups incrementales diarios y

completos en forma semanal. Sin embargo grandes compañías que manejen grandes volúmenes

de datos en forma diaria tal vez necesiten realizar backups por hora, ya que no pueden permitirse

perder los datos recolectados durante las anteriores 23 horas si realizaran backups diarios.

EXTRACTOS DEL LIBRO



40

Según en qué tipo de equipo se realice

• Las posibilidades son: servidor o estación de trabajo.

• Mientras que una estación de trabajo se maneja por si misma, en un servidor influyen la actividad

de los dispositivos instalados y la red. La diferencia entre ambos esta dada en la en los

requerimientos de performance de los componentes de backup.

Según desde donde se realice.

• Puede ser backup local o remoto.

• Concierne solamente a lo relacionado con los servidores. Para hacer un backup remoto en una

estación de trabajo es necesario que esta se conecte con un servidor. La cuestión es si se realiza

el backup dentro o fuera del establecimiento. Independientemente de donde se realice el proceso

de backup, las copias de respaldo deben almacenarse off-site.

Políticas de Seguridad

• ¿Qué son?

o Normas y procedimientos definidos para asegurar la disponibilidad e integridad de la

información y recursos de una organización

• Tipos de políticas

o Política de programa: debe:

▪ crear y definir un programa de seguridad de computación: debe ser claro en

cuanto a qué recursos cubre (hardware, software, personal, información)

▪ establecer direcciones estratégicas de la organización: definición de metas

del programa, como por ejemplo, reducción de errores.

▪ asignar responsabilidades: para implementación del programa

▪ referirse al cumplimiento de la política: requerimientos para establecer el

plan y penalizaciones a aplicar a quienes no cumplan la política.

o Política de asuntos específicos: debe:

▪ Tratar áreas específicas de relevancia para la organización, como por

ejemplo, conectividad a internet o privacidad de correo electrónico.

▪ Ser actualizada con frecuencia, a medida que aparecen cambios en la

tecnología utilizada.

▪ Contener una declaración del asunto: la posición de la organización,

aplicabilidad, roles y responsabilidades, cumplimiento y punto de contacto.

o Política de sistemas específicos: debe:

▪ Enfocarse en decisiones: tomadas por la gerencia para proteger un sistema

en particular, tales como definir hasta dónde se registrará las acciones de

los individuos.

EXTRACTOS DEL LIBRO



41

▪ Debe realizarse basada en un análisis técnico

▪ Variar de un sistema a otro: cada sistema necesita objetivos de seguridad

definidos basados en los requerimientos operacionales, ambiente y

aceptación del riesgo por parte de la gerencia.

o Ser expresadas como reglas: quién (por categoría de trabajo, ubicación dentro de la

organización o nombre) puede hacer qué (modificar, borrar) a qué clase específica

de registros de datos y en qué circunstancias.

¿Cómo debe ser la política de seguridad?

▪ Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la

información corporativa.

▪ Rayar la cancha con respecto al uso de los recursos de información.

▪ Definir la base para la estructura de seguridad de la organización.

▪ Ser un documento de apoyo a la gestión de seguridad informática.

▪ Tener larga vigencia, manteniéndose sin grandes cambios en el tiempo

▪ Ser general, sin comprometerse con tecnologías específicas.

▪ Debe abarcar toda la organización

▪ Debe ser clara y evitar confusiones

▪ No debe generar nuevos problemas

▪ Debe permitir clasificar la información en confidencial, uso interno o pública.

▪ Debe identificar claramente funciones específicas de los empleados como: responsables, custodio

o usuario, que permitan proteger la información.

Contraseñas

• El 50% de los adultos nunca han cambiado la clave de su PC o de acceso a Internet.

• Además, sólo el 10% la modifica mensualmente.

• Las razones esgrimidas fueron:

o la falta de interés en recordar una nueva contraseña (el 25%),

o que cambiar de password representa una actividad irritante (aproximadamente el 20%)

o aspectos sentimentales (el 13%).

• A pesar de que se recomienda no usar temas clásicos para las contraseñas…

o el 41% de los consultados ha elegido el nombre de su pareja y

o el 25% el de alguno de sus hijos.

Password

▪ Permite una clara y unívoca identificación

▪ La PASSWORD es confidencial

▪ Bloqueo de user-id

EXTRACTOS DEL LIBRO



42

▪ Accesos múltiples

▪ Supresión de password

▪ Archivo de password

▪ Expiración de password

▪ Longitud/composición de password

▪ Capacidad de desconexión por tiempo

Strong Password

▪ Letras mayúsculas

▪ Letra minúsculas

▪ Números

▪ Símbolos

▪ A veces: no ingresables por teclado

▪ Ser lo suficientemente largas

o Compuestas por caracteres al azar

o No ser igual a la anterior

o No ser visibles cuando son tecleadas

o No aparecer ‘en claro’ en el equipo o transmisión

o No se permiten más de 3 intentos

o Cambios periódicos

o Período de vigencia

o Se registran intentos fallidos

o La gestión de passwords es confiada a Seguridad Informática

o Las passwords tienden a ser es un mix de todas

Las passwords usuales segun Hackers Chronicle

▪ Fechas de nacimiento

▪ Nombres de autos, perros, novias, clubes

▪ Malas Palabras

▪ Connotaciones Sexuales

▪ Mezclas de los anteriores

▪ Según 2600.com solo un 9% de las passwords “hackeadas o descubiertas” no guardaba relacion

con nada de las personas

▪ Si se accede al ambiente del individuo su password está alli (monitores, teclados, calendarios,

fotos, etc.)

▪ Si se accede a su escritura manuscrita se tiene acceso mas facil a su perfil de pensamiento y

actitud (grafologia)

▪ Si se conoce su foto = morfopsicologia

EXTRACTOS DEL LIBRO



43

Hackers

▪ Son las componentes claves para comprender a los hackers, pues permiten identificar qué

propósito hay detrás de un intento de intrusión.

▪ Reto: Era la motivación original, dadas las dificultades inherentes. Se asocia frecuentemente con

hackers sin objetivos específicos: personas que invaden sistemas por “diversión”, sin importarles

realmente qué sistemas comprometen.

▪ Codicia: Muy antigua para actos delictivos. Incluye el deseo de ganar dinero, bienes, servicios ó

información. Sus objetivos son sitios que permitan obtener dinero (bancos, comercio electrónico),

software ó información que pueda ser vendida.

▪ Propósito mal intencionado: El objetivo es causar daño: Vandalismo. Buscan de manera activa

formas para dañar a una organización ó sitio específico. Tienden a estar enfocados a propósitos

particulares: denegar servicios, modificar sitios Web ó correo electrónico, etc.

¿Qué queremos proteger?

▪ Activos (recursos que forman parte del sistema):

o Fungibles: Elementos que se consumen con el uso (poco importantes).

o Hardware: Elementos físicos.

o Software: Programas lógicos.

o Datos: Información manejada por el hardware y el software (prioritario).

o Otros: Personas, infraestructuras.

Estereotipos Sociales

▪ Computer Underground

o Hacker

o Cracker

o Pirata Informatico

o Phreakers

o Sneakers

o Lammers

▪ Adictos

o Utilizacion obsesiva de juegos electrónicos

o Obsesion por la tecnología

o Exploracion Compulsiva

o Adiccion a juegos on-line: banda ancha

o Compras compulsivas en linea: (datamining)

o Adiccion a las ciber-relaciones

o Adiccion ciber-sexual

EXTRACTOS DEL LIBRO



44

Diferencias entre hackers, lammers y crackers

• La cultura del hacking en nuestros días parece que va en decadencia, debido al gran éxito de otras

grandes corrientes de influencia en la Internet como la Web 2.0 y el boom de los blogs.

• Sin embargo, esta cultura “1.0″ aún subsiste y en este post vamos a conocer las diferencias entre

los verdaderos hackers, los molestos lammers y los audaces crackers.

Hackers

• Un hacker es una persona com amplios conocimientos de informática, redes, internet y demás

tecnologías asociadas, que aprovecha sus vastos conocimientos sin fines de lucro aparente para

acceder a información clasificada o no pública.

• Un hacker se auto describe como una persona normal y que nunca dice o presume de serlo.

• Un hacker es capaz de analizar las deficiencias o huecos de seguridad de un sistema o aplicación,

encontrar todas las fallas posibles, así como sus soluciones y generalmente lo comunica por

diversos medios, con el fin de que la comunidad apoye en aumentar la seguridad, o bien, para

beneficiar a la misma.

• Individuo que irrumpe en las computadoras.

• Los estudios han encontrado que suelen ser:

o Sexo masculino

o Edad entre 16 y 35 años

o Solitarios

o Inteligentes

o Competentes técnicamente

o Tienen conocimientos acerca de las redes y de las computadoras, así como de su

funcionamiento.

o Algunos alcanzan a tener elevados conocimientos sobre los protocolos y sobre como

utilizarlos para que los sistemas actúen de ciertas formas.

• Definición inicial de los ingenieros del MIT que hacían alardes de sus conocimientos en

informática.

• Entre muchas clasificaciones están las de:

o White Hat (generalmente no delictivos),

o Blak Hat (generalmente es delictivo) y

o Grey Hat (reconvertidos por la empresa).

Lammers

• En palabras de un verdadero hacker, un lammer no es más que un intento de hacker o un “hacker

newbie (novato)”, quien con el solo hecho de realizar algún hackeo menor llega a sentirse el más

grande hacker de la historia, y gusta de divulgarlo a los 4 vientos. Generalmente este tipo de

“hackers” (si es que se les puede llamar así), suelen ser adolescentes de entre 10 y 16 años que

se están iniciando en el mundo del hacking y cualquier logro menor lo toman con mucha euforia.

Su más grandes armas son los tutoriales realizados por hackers avanzados, y una vez que logran

realizar dicho tutorial, gustan de presumir su logro diciendo que lo “lograron solos y sin ayuda”.

EXTRACTOS DEL LIBRO



45

Crackers

• Un cracker puede definirse como un hacker especializado en romper cadenas y keys de seguridad

en aplicaciones informáticas, con el único fin de usar dichas aplicaciones de manera 100%

funcional sin pagar el costo de las respectivas licencias.

• Al contrario de un hacker, un cracker analiza las deficiencias o psibles agujeros de seguridad de

un sistema o aplicación, y busca la manera de quebrantarlos buscando su propio beneficio.

• Persona que intenta de forma ilegal romper la seguridad de un sistema por diversión o interés.

Script kiddie

• Un inexperto, normalmente un adolescente, que usará programas que se descarga de Internet

para atacar sistemas.

Intrusos

▪ Un problema significativo de seguridad para los sistemas en red es el acceso hostil o no

autorizado por parte de usuarios ó de software.

▪ La entrada ilegal de usuarios puede ser mediante acceso no autorizado a un equipo, adquisición

de privilegios ó realizar acciones para las que no ha sido autorizado, mientras que en el caso del

software puede tratarse de virus, gusanos ó caballos de Troya.

▪ Un intruso, generalmente conocido como hacker ó cracker, puede ser clasificado como:

o Suplantador: individuo NO autorizado a usar un computador

o Usuario fraudulento: usuario legítimo que accede a datos, programas ó recursos a los que

no está autorizado. Normalmente es un usuario interno.

o Usuario clandestino: individuo que toma el control de supervisión del sistema y lo usa

para evadir los controles de auditoría y de acceso ó para suprimir información de

auditoría.

Técnicas de intrusión

▪ El objetivo del intruso es obtener acceso a un sistema ó aumentar el rango de privilegios por él

accesibles dentro del sistema, lo cual requiere que adquiera información protegida.

▪ En la mayoría de los casos, la información se encuentra protegida bajo la contraseña de algún

usuario.

▪ El archivo de contraseñas puede ser protegido mediante:

o Cifrado unidireccional: crypt

o Control de acceso: /etc/shadow

Detección de intrusiones

▪ Herramienta usada por el personal de seguridad para proteger una organización de ataques.

▪ Concepto reactivo que intenta identificar a un hacker cuando éste intenta una penetración.

EXTRACTOS DEL LIBRO



46

▪ También puede ayudar a la identificación proactiva de las amenazas activas, proporcionando

indicaciones y advertencias de que una amenaza está reuniendo información para un ataque.

Técnicas para detección de intrusos

▪ El funcionamiento típico de las herramientas para detectar intrusos se basa en el análisis

pormenorizado del tráfico de red, el cual, al entrar al analizador, es comparado con firmas de

ataques conocidos o comportamientos sospechosos, como puede ser el escaneo de puertos,

paquetes malformados, etc.

▪ Comúnmente se utiliza un Sistema para Detección de Intrusos (Intrusion Detection System – IDS)

que tiene sensores virtuales (sniffer de red) con los que el núcleo del IDS puede obtener datos

externos sobre el tráfico de red.

▪ Gracias a dichos sensores, el IDS detecta anomalías que pueden ser indicio de la presencia de

ataques o falsas alarmas.

▪ Un IDS no sólo analiza qué tipo de tráfico es, también revisa el contenido y su comportamiento.

▪ Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.

▪ Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre

el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

Integración con firewall

▪ Normalmente el IDS se integra con un firewall.

▪ El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan

conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall.

▪ Al integrarles, se obtiene una herramienta muy poderosa que une la inteligencia del IDS y el poder

de bloqueo del firewall, el punto por donde forzosamente deben pasar los paquetes y donde

pueden ser bloqueados antes de penetrar en la red.

Tipos de IDSs

▪ Existen tres tipos de sistemas de detección de intrusos:

o HIDS (HostIDS): un IDS vigilando un único computador y por tanto su interfaz corre en

modo no promiscuo. La ventaja es que la carga de procesamiento es mucho menor.

o NIDS (NetworkIDS): un IDS basado en red, detectando ataques a todo el segmento de la

red. Su interfaz debe funcionar en modo promiscuo, capturando así todo el tráfico de la

red.

o DIDS (DistributedIDS): sistema basado en la arquitectura cliente-servidor, compuesto por

una serie de NIDS (IDS de redes) que actúan como sensores centralizando la información

de posibles ataques en una unidad central que puede almacenar o recuperar los datos de

una base de datos centralizada. La ventaja es que en cada NIDS se puede fijar unas

reglas de control especializándose para cada segmento de red. Es la estructura habitual

en redes privadas virtuales (VPN).

HIDS

▪ Sus sensores pueden determinar diversos tipos de eventos, así como si el ataque tuvo éxito.

EXTRACTOS DEL LIBRO



47

▪ Los cinco tipos básicos de sensores son:

o Analizadores de bitácoras (logs): Vigila los archivos apropiados del sistema.

o Sensores basados en firmas: Compara el tráfico de la red con conjuntos de firmas de

eventos de seguridad.

o Analizadores de llamadas al sistema: Revisan las llamadas entre aplicaciones y sistema

operativo.

o Analizadores del comportamiento de la aplicación: Se analiza si la aplicación tiene

permisos para ejecutar la acción.

o Verificadores de la integridad de los archivos: No proporciona identificación de ataque,

expone en detalle los resultados del ataque.

NIDS

▪ Ventajas

o Puede estar completamente oculto en la red de modo que un atacante no sabrá que está

siendo monitoreado.

o Se puede emplear un NIDS simple para monitorear el tráfico en un gran número de

sistemas objetivo potenciales.

o Puede capturar el contenido de todos los paquetes que viajan hacia un sistema objetivo.

▪ Desventajas

o Sólo puede dar alarma si el tráfico coincide con reglas ó firmas previamente configuradas.

o Puede perder tráfico de interés debido a uso de ancho de banda elevado ó de rutas

alternas.

o No puede determinar si el ataque tuvo éxito.

o No puede examinar el tráfico que está cifrado.

o Las redes conmutadas requieren configuraciones especiales para que el NIDS pueda

examinar todo el tráfico.

Virus

• Los virus informáticos son una de los principales riesgos de seguridad para los sistemas, ya sea

que estemos hablando de un usuario hogareño (y corporativo) que utiliza su máquina para trabajar

y conectarse a Internet o una empresa con un sistema informático importante que debe mantener

bajo constante vigilancia para evitar pérdidas causadas por los virus.

• Un virus se valdrá de cualquier técnica conocida –o poco conocida- para lograr su cometido.

• Así, encontraremos virus muy simples que sólo se dedican a presentar mensajes en pantalla y

algunos otros mucho más complejos que intentan ocultar su presencia y atacar en el momento

justo.

EXTRACTOS DEL LIBRO



48

HISTORIA

▪ Los virus tienen la misma edad que las computadoras.

▪ En 1949 John Von Neumann, describió programas que se reproducen a sí mismos en su libro

"Teoría y Organización de Autómatas Complicados".

▪ La característica de auto-reproducción y mutación de estos programas, que las hace parecidas a

las de los virus biológicos, parece ser el origen del nombre con que hoy los conocemos.

▪ Se reconoce como antecedente de los virus actuales, un juego creado por programadores de la

empresa AT&T, que desarrollaron la primera versión del sistema operativo Unix en los años 60.

▪ Para entretenerse, y como parte de sus investigaciones, desarrollaron un juego llamado "Core

Wars", que tenía la capacidad de reproducirse cada vez que se ejecutaba.

▪ Este programa tenía instrucciones destinadas a destruir la memoria del rival o impedir su correcto

funcionamiento.

▪ Al mismo tiempo, desarrollaron un programa llamado "Reeper", que destruía las copias hechas por

Core Wars (antivirus)

▪ Conscientes de lo peligroso del juego, decidieron mantenerlo en secreto, y no hablar más del

tema.

No se sabe si esta decisión fue por iniciativa propia, o por órdenes superiores.

▪ Por 1989 la cantidad de virus detectados en diferentes lugares sobrepasan los 100, y la epidemia

comienza a crear situaciones graves.

▪ Entre las medidas que se toma, para tratar de detener el avance de los virus, es llevar a los

tribunales a Robert Morís Jr. acusado de ser el creador de un virus que infectó a computadoras del

gobierno y empresas privadas.

▪ Al parecer, este muchacho conoció el programa Core Wars, creado en la AT&T, y lo difundió entre

sus amigos.

▪ Ellos se encargaron de diseminarlo por diferentes medios a redes y equipos.

▪ Al juicio se le dio gran publicidad, pero no detuvo a los creadores de virus.

VIRUS EN LAS REDES

• La frecuencia de los virus informáticos y sus altos costos han motivado el desarrollo y adopción de

protecciones de virus servidores de redes.

• De hecho actualmente existen mas de 10000 virus en todo el mundo y de acuerdo con encuestas

realizadas.

• Las infecciones en distintos países oscilan entre el 35% y el 85% anual.

Virus

▪ Programa “malo”

▪ Un virus es un archivo ejecutable capaz de realizar acciones sin el consentimiento del usuario.

▪ Difícil de rastrear

▪ Se reproduce rápidamente

▪ Puede destruir datos, procesos y equipos

EXTRACTOS DEL LIBRO



49

▪ Virus Falsos = Hoax

▪ Un virus puede reproducirse, auto ejecutarse, ocultarse, infectar otros tipos de archivos, cambiar

de forma, residir en memoria, etc.

Malware - Código Malicioso

▪ Noción usual de virus informático establecida en 1984, en la conferencia IFIC/SEC´84 por Fred

Cohen, en paralelismo con los virus biológicos.

▪ “Software maligno capaz de reproducirse a sí mismo“.

▪ Todo código que lleve a cabo acciones nocivas contra un sistema informático.

Quien fabrica los virus…?

▪ Existen algunas teorías acerca de quién o quienes fabrican virus:

o Las empresas de Software.

o Las empresas que fabrican antivirus.

o Estudiantes.

o Personas comunes por “casualidad”

CARACTERÍSTICAS

• Residir en Memoria: un programa puede cargarse en la memoria del computador, y desde allí

infectar todos los archivos ejecutables que se usen.

• No residentes: solo pueden infectar cuando el programa infectado es ejecutado.

• Ocultamiento: Un virus puede esconderse de los antivirus, redirigiendo la lectura del disco hacia

otro sector, o por el tamaño del archivo que infectan, modificando la información para que el

antivirus no detecté que el archivo creció.

• Encriptado: este es otro método de ocultamiento, por el cual el virus permanece encriptado hasta

que se ejecuta.

• Polimórficos: estos virus tienen la capacidad de mutar cambiando parte de su programación de un

momento a otro.

• Ejecutables por evento: se ejecutan cuando un evento sucede en la PC.

• Multipartitos: aquellos virus que son capaces de infectar tanto archivos como sectores de booteo.

Generaciones de Virus

▪ Primera Generación

o El mayor objetivo era la de perturbar y burlarse de sus víctimas. Su forma de ataque era

directa y devastadora.

▪ Segunda Generación

EXTRACTOS DEL LIBRO



50

o Fue el resultado de la aparición de los programas antivirus. El objetivo pasa de ser la

burla al mayor daño posible, alterando archivos de datos.

▪ Tercera Generación

o Surge la técnica de auto-polimorfismo, la cual apunta a que ninguna parte del código del

virus permanezca estable. Otra característica es la de PMD+ (Principio de mayor daño

potenciado)

Distintos Tipos de Virus

▪ ACSO (Antes de Cargar el Sistema Operativo)

o Son aquellos que se alojan en el sector de booteo y que toman el control del sistema

cuando se prende la computadora.

▪ Bombas Lógicas

o Se copia subrepticiamente en el sistema y permanecen latentes hasta que un evento

externo la despierta, puede ser una combinación de teclas, una fecha determinada, etc.

o Permanecen camuflados dentro de otros programas y se e activan al producirse un

acontecimiento determinado:

▪ una fecha (Bombas de Tiempo),

▪ una combinación de teclas, o un estilo técnico (Bombas Lógicas).

▪ Si no se produce la condición permanece oculto al usuario.

▪ Gusanos

o Éstos se diferencian de los virus en que no necesitan de un anfitrión para subsistir. Ataca

principalmente en redes.

▪ Caballos de Troya

o Se camufla como si fuera una aplicación que cumple una función determinada y cuando

se la ejecuta su comportamiento es otro.

▪ EXEVIR

o Atacan fundamentalmente archivos.EXE y cuando éstos se ejecutan, el virus se activa,

se carga en memoria y toma el control del sistema.

▪ Macro-virus

o De reciente aparición afectan archivos de Word, Excel que contienen códigos de macros.

▪ Joke Program

o Es inofensivo.

o Simula las acciones de un virus informático gastando una broma a los usuarios,

haciéndoles creer que están infectados.

Prevención primaria

▪ Utilizar un programa antivirus actualizado en forma semanal, residente en memoria (“centinela”),

configurado para analizar archivos comprimidos, emails y texto plano,

▪ Analizar semanalmente todo el equipo

▪ Configurar un segundo programa antivirus

EXTRACTOS DEL LIBRO



51

▪ Utilizar un programa “filtro” tipo MailWasher

▪ En conexiones continuas o prolongadas, utilizar un firewall

o Desactivar la “vista previa” del correo electrónico

o Demarcar la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

o Marcar la opción "Mostrar todos los archivos y carpetas ocultos”*

▪ Recomendaciones en archivos adjuntos:

o Tradicional: nunca abrir archivos adjuntos que envía un desconocido

o Actual: no abrir archivos adjuntos que no hayan sido anunciados y, ante la duda,

consultar con el remitente

o De cualquier manera, no abrir adjuntos sin antes analizarlos por lo menos con dos

antivirus (a veces lo que uno no detecta, lo hace el otro) y verificar la existencia de doble

extensión

o Estar atentos a Alertas de sitios serios; instalar “parches” de seguridad:

Signos y síntomas

▪ En directorios y archivos:

o La cantidad de espacio disponible es cada vez menor.

o Aumento de tamaño de archivos

o Algunos archivos desaparecen del disco (borrados).

o El directorio muestra archivos desconocidos por el usuario.

o Los archivos son sustituidos por caracteres ilegibles.

o Alteración en la indicación de la hora de un archivo.

▪ En la ejecución de aplicaciones:

o Los programas tardan mas tiempo en cargarse o no son operativos.

o Algunas aplicaciones trabajan mas lentamente que lo normal.

o Al abrir un archivo aparecen errores que antes no existían.

o Al solicitar la apertura de un archivo aparecen en el menú drivers que no están instalados.

▪ Funcionamiento del sistema:

o Rendimiento del sistema reducido.

o La cantidad de memoria disponible cambia o disminuye continuamente.

o Arranque incompleto del sistema o fallo en el arranque.

o Escrituras inesperadas en una unidad.

o Mensajes de error extraños o no estándar.

o Actividad de pantalla no estándar (animaciones, etc.), fluctuaciones de pantalla.

o Sectores erróneos en discos.

o Cualquier operación extraña que su computadora no realizaba antes y que de un

momento a otro comienza a ejecutar.

o Otros errores no justificados.

EXTRACTOS DEL LIBRO



52

Como prevenirse…

▪ Nivel Corporativo

o Teniendo una buena política de seguridad, ello implica:

▪ tener software original

▪ evitar el ingreso de discos / pen drives ajenos a la empresa, como es el caso de

los jueguitos.

▪ capacitar al personal sobre los peligros que implica un virus.

▪ Nivel Personal

o Revisación de cada uno de los disquettes que se ingresan en la computadora.

Ataques de los Virus

▪ Interrupción

o Cortar el flujo de comunicaciones

o Cortar el acceso a dispositivos

o Cortar la comunicación entre equipos

o Ocupación de canales

▪ Intercepcion

o Tener acceso a un mensaje

o Leer alguna transmisión

o Acceder al trafico de un canal

▪ Espionaje

o Aprender de algun sistema

o Robar datos

o Key recorders

o Tracking de transacciones

▪ Modificaciones

o Cambiar información

o Alterar programas

o Reordenar archivos

o Cambiar localización de los datos

▪ Destrucción

o Romper programas

o Inutilizar equipos

o Sobrecargar los equipos

o Atacar hardware

▪ Integridad

o Que existan varios valores de los datos

o Alteración de registros

o Modificar los back-ups

▪ Generacion

EXTRACTOS DEL LIBRO



53

o Creación de nuevos objetos dentro del sistema.

o Su detección es difícil: delitos de falsificación.

o Ejemplos:

▪ Añadir transacciones en red.

▪ Añadir registros en base de datos.

Acciones varias.

▪ Fraude:

o Acto deliberado de manipulación de datos perjudicando a una persona física o jurídica

que sufre de esta forma una pérdida económica.

o El autor del delito logra de esta forma un beneficio normalmente económico.

▪ Sabotaje:

o Acción con la que se desea perjudicara una empresa entorpeciendo deliberadamente su

marcha, averiando sus equipos, herramientas, programas, etc.

o El autor no logra normalmente con ello beneficios económicos pero pone en jaque mate a

la organización.

▪ Chantaje:

o Acción que consiste en exigir una cantidad de dinero a cambio de no dar a conocer

información privilegiada o confidencial y que puede afectar gravemente a la empresa, por

lo general a su imagen corporativa.

▪ Mascarada:

o Utilización de una clave por una persona no autorizada y que accede al sistema

suplantando una identidad.

o De esta forma el intruso se hace dueño de la información, documentación y datos de

otros usuarios con los que puede, por ejemplo, chantajear a la organización.

Virus y Gusanos

▪ Virus:

o Código diseñado para introducirse en un programa, modificar o destruir datos.

o Se copia automáticamente a otros programas para seguir su ciclo de vida.

o Es común que se expanda a través de plantillas, las macros de aplicaciones y archivos

ejecutables.

▪ Gusanos:

o Virus que se activa y transmite a través de la red.

o Tiene como finalidad su multiplicación hasta agotar el espacio en disco o RAM.

o Suele ser uno de los ataques más dañinos porque normalmente produce un colapso en la

red como ya estamos acostumbrados.

EXTRACTOS DEL LIBRO



54

Caballos de Troya y Spam

▪ Caballos de Troya:

o Virus que entra al computador y posteriormente actúa de forma similar a este hecho de la

mitología griega.

o Así, parece ser una cosa o programa inofensivo cuando en realidad está haciendo otra y

expandiéndose.

o Puede ser muy peligroso cuando es un programador de la propia empresa quien lo instala

en un programa.

▪ Spam:

o El spam o correo no deseado, si bien no puede considerarse propiamente como un

ataque, provoca hoy en día pérdidas muy importantes en empresas y muchos dolores de

cabeza.

Puertas traseras (Backdoors)

▪ Mecanismos para circunvalar los mecanismos de autentificación.

▪ Frecuentemente utilizado por programadores durante el desarrollo de aplicaciones.

▪ Aceptables en esta fase, pero extremadamente peligroso tras la implantación del sistema.

▪ ¿Siempre es un olvido eliminar las puertas traseras?

Superzapping

▪ Procedimientos o herramientas que evitan ciertos controles del sistema operativo, para ser

utilizadas en caso de necesidad extrema.

▪ `superzap': Antigua herramienta de emergencia para realizar tareas administrativas.

▪ No es una puerta trasera, ya que todo el mundo conoce su existencia.

▪ Vulnerabilidad grave: alto riesgo y alto impacto.

Técnicas salami

▪ Desvío de pequeñas cantidades de recursos de una gran fuente.

▪ Especialmente críticos en bancos o en entornos que manejen datos económicos (por ejemplo,

sueldos).

▪ Round down, redondeo hacia abajo, es el caso mas habitual.

Denial of Service (Denegación de Servicio)

• Tipos de Ataques ser remite solo a los ataques Denial of Services primeros o conocidos como

ataques de un solo PC. Sin ayuda especializada de otros PC.

• Ataques Distributed Denial of Services son ataques que cuentan con ayuda de otos PC. O sea que

se utilizan muchos PC como centro de cómputos.

• Detección y Prevención cuenta de cómo detectar los ataques o formas de prevenir que lleguen

estos, un caso en el que todos pensamos es en los firewall, y si esta es una forma de prevenir

ataques pero también hay otras formas.

EXTRACTOS DEL LIBRO



55

• Solución distribuida (Intel) mecanismo de protección de servidores sobre ataques de tipos denial of

services.

• Que es dejar fuera de servicio?

o Dejar fuera de servicio es hacer que el servidor provoque un falla y por lo tanto se caiga

(se cuelgue) y deba reiniciarse o que el servidor diga que esta en un estado correcto pero

no pueda atender mas clientes porque tiene una sobrecarga de peticiones. Esto también

se considera un ataque de tipo Denial of Service, o sea la idea general o la intención

general es dejar al servidor por algún motivo con bajos recurso para poder prestar su

servicio.

o Algunos de estos ataques o tipos de ataques se hacen en combinación, y Sebastián les

va a contar un ejemplo de ataques combinados.

• Después están los ataques Distribuidos de Denial of Service que estos son los ataques en los que

los atacantes no están identificados por el servidor atacado porqué?, Porque los que los que

atacan realmente al servidor son otras maquinas y el atacante solo usa a estas maquinas y las

coordina para que el ataque sea mas fuerte, de esta forma no hay servidor potente que no tenga

problema, estoy teniendo un poder de computo mucho mas mayor...

o Ping of death

▪ Consiste en enviar un paquete ICMP de gran tamaño.

▪ Cuando se recibe, se reconstruye, pero debido a su gran tamaño provoca un

desbordamiento de buffer.

▪ Fue el precursor de los ataques de tipo DoS.

o ICMP Flood

▪ Consiste en “inundar” de paquetes ICMP al host víctima.

▪ Los paquetes enviados son paquetes ICMP falseados que provocan que la

víctima corte las conexiones actuales.

o Smurf y Fraggle

▪ Los ataques Smurf consisten en enviar paquetes ICMP a las direcciones

broadcast de la red con la dirección IP de la víctima. Las direcciones broadcast

responden luego a la dirección IP de la víctima saturándolo.

▪ Los ataques Fraggle son iguales a los ataques Smurf, pero se envían paquetes

UDP.

▪ Los enrutadores suelen no responderse a los paquetes broadcast ICMP y UDP

originados fuera de la red como forma de prevención de éste tipo de ataques.

o SYN Flood

▪ Consiste en enviar un paquete SYN al servidor y no responder al paquete

SYNACK enviado por éste.

▪ El servidor espera un tiempo (corto) para la respuesta del SYNACK.

▪ Si se mantiene éste tipo de actividad por mucho tiempo, y si se envía una gran

cantidad de paquetes SYN, hace que el servidor se ralentice o se paralice

completamente.

▪ Ataque muy potente, pues no se necesita un gran poder de cómputo por parte

del atacante.

o UDP Flood

EXTRACTOS DEL LIBRO



56

▪ Consiste en enviar grandes cantidades de paquetes UDP contra la víctima.

▪ Los paquetes UDP enviados suelen tener la dirección IP del emisor falseada (IP

Spoofing) para enmascarar su origen.

o Connection Flood

▪ Se basa en que prácticamente todos los proveedores de Internet tienen un tope

de conexiones máximo.

▪ Si el atacante establece el tope de conexiones soportadas, monopoliza la

capacidad del servidor, y si no realiza ninguna actividad sobre éstas, lo deja

inactivo.

o Net Flood

▪ Consiste en enviar grandes cantidades de solicitudes de conexión, evitando que

las conexiones de los demás usuarios puedan llevarse a cabo.

▪ Suele ir acompañado de IP Spoofing, para ocultar la dirección real del atacante.

o SUPERNUKE o WINNUKE

▪ Son ataques a equipos Windows que escuchan peticiones por los puertos 137 a

139.

o ICMP Nuke:

▪ Consiste en el envío de paquetes ICMP maliciosos provocando que se corten las

conexiones de la víctima.

o OoB Nuke (Out of Band):

▪ Provoca una caída del sistema enviando un paquete UDP malicioso al puerto

139. Esto se debe a un bug en Windows 3.x, 9x y NT.

o Teardrop

▪ Los ataques de tipo Teardrop se basan en errores de implementación de

algunas colas IP que no vuelven a recomponer correctamente los fragmentos de

paquetes, haciendo que el sistema se cuelgue.

▪ Son ataques especialmente peligrosos, ya que existen varios tipos de

implementaciones que explotan ésta debilidad. Las más conocidas son Newtear,

Bonk y Boink.

o Mail bombing

▪ Consisten en enviar grandes cantidades de correo basura a una casilla

determinada, provocando que ésta se sature y no pueda recibir más emails.

▪ No es considerado del todo como un ataque DoS, pues no están encaminados a

saturar ningún sistema.

o Denegación de Servicios Distribuidos

▪ Consiste en realizar un ataque DOS desde múltiples maquinas al mismo tiempo

por un atacante.

▪ Aumenta la efectividad del ataque

▪ Utilización de una red de máquinas cómplices

▪ Distribución con arquitectura cliente / servidor

o Utilización de cientos o miles de máquinas en un Ataque

▪ Firewalls analizan los paquetes que entran en la red y bloqueando aquellos que

no cumplen el criterio de seguridad predefinido.

EXTRACTOS DEL LIBRO



57

▪ Sin embargo los firewalls tienen un éxito limitado en contra de los ataques de

denegación de servicio (DoS). Aunque algunas herramientas de ataques

distribuidos DoS usan puertos específicos, la mayoría de ellas no lo hace. Si el

firewall autentica cada conexión (mediante una aplicación proxy) puede haber

posibilidades de bloquear los ataques, pero en la práctica los firewalls que hacen

esto último son escasos.

▪ Una limitación adicional importante de las actuales soluciones IDS es la poca

habilidad para atrapar datos de intrusos de la red y redirigirlos a un lugar seguro

para elaborar el análisis pertinente.

▪ Esto puede ser la clave para descubrir patrones de comportamiento de los

intrusos y tenerlos en cuenta para futuros ataques. Más aún, la tendencia actual

de las organizaciones a instalar sistemas antivirus en servidores y firewalls

contribuye a la latencia de la red.

Consecuencias Virus - ComputerWorld

CICLO DE VIDA DE UN VIRUS

▪ CREACIÓN

▪ GESTACIÓN

▪ REPRODUCCIÓN

▪ ACTIVACIÓN

▪ DESCUBRIMIENTO

▪ ASIMILACIÓN

EXTRACTOS DEL LIBRO



58

▪ ERRADICACIÓN

¿Similar a un virus“humano”?

• Los virus informáticos tienen un ciclo de vida, que empieza cuando son creados y termina cuando

son erradicados completamente. El siguiente resumen describe cada etapa:

• Creación:

o hasta unos años atrás, crear un virus requería del conocimiento del lenguaje de

o programación assembler. Hoy en día, cualquiera con un poco de conocimiento en

programación puede crear un virus. Generalmente, los creadores de los virus, son

personas maliciosas que desean causar daño a las computadoras.

• Gestación:

o Luego de que el virus es creado, el programador hace copias asegurándose de que

se diseminen. Generalmente esto se logra infectando un programa popular y luego

enviándolo a algún BBS o distribuyendo copias en oficinas, colegios u otras

organizaciones.

• Reproducción:

o Los virus se reproducen naturalmente. Un virus bien diseñado se reproducirá por un

largo tiempo antes de activarse, lo cual permite que se disemine por todos lados.

• Activación:

o Los virus que contienen rutinas dañinas, se activarán bajo ciertas condiciones, por

ejemplo, en determinada fecha o cuando el usuario haga algo determinado. Los virus

sin rutina dañina no se activan, pero causan daño al robar espacio en el disco.

• Descubrimiento:

o Esta fase por lo general viene después de la activación. Cuando se detecta y se aísla

un virus, se envía al International Security Association en Washington D.C, para ser

documentado y distribuido a los encargados de desarrollar los productos antivirus. El

descubrimiento, normalmente ocurre por lo menos un año antes de que el virus se

convierta en una amenaza para la comunidad informática.

• Asimilación:

o En este punto, quienes desarrollan los productos antivirus, modifican su programa

para que éste pueda detectar los nuevos virus. Esto puede tomar de un día a seis

meses, dependiendo de quien lo desarrolle y el tipo de virus.

• Erradicación:

o Si suficiente cantidad de usuarios instalan una protección antivirus actualizada,

puede erradicarse cualquier virus. Hasta ahora, ningún virus ha desaparecido

completamente, pero algunos han dejado de ser una amenaza.

Tipos de Virus

La mayoría de los virus informáticos se dividen en cuatro clases:

• Virus de Arranque

EXTRACTOS DEL LIBRO



59

• Hasta mediados de 1990, los virus de arranque eran los más populares, y se diseminaban en

el mundo de 16-bits del DOS vía disquete. Este tipo de virus infecta el sector de arranque de

un disquete y se disemina en el disco rígido del usuario, el cual también puede infectar el

registro maestro de arranque (MBR). Una vez que el MBR o sector de arranque esté

infectado, el virus intenta infectar cada disquete que se inserta y se usa en la computadora.

• Los virus de arranque trabajan de la siguiente manera: se ocultan en el primer sector de un

disco y se cargan en la memoria antes de que los archivos del sistema se carguen. Esto les

permite tomar total control de las interrupciones del SO y así, pueden diseminarse y causar

daño. Estos virus, generalmente reemplazan los contenidos del MBR o sector de arranque

con su propio contenido y mueven el sector a otra área en el disco. La erradicación de un

virus de arranque puede hacerse inicializando la máquina desde un disquete sin infectar, o

encontrando el sector de arranque original y reemplazándolo en el lugar correcto del disco.

• Virus de Archivo

• Los virus que infectan archivos, también conocidos como parásitos, operan en la memoria y

generalmente infectan archivos ejecutables que tienen las siguientes extensiones: *.EXE,

*.DRV, *.DLL, *.BIN, *.OVL, *.SYS. Estos se activan cada vez que el archivo infectado es

ejecutado y pueden permanecer en la memoria mucho tiempo después de que hayan sido

activados. Existen miles de virus diferentes que infectan archivos.

• Virus Multi-partes

• Los virus multi-parte comparten las características de los virus de arranque y los de archivo.

• Virus Macro

• De acuerdo con la International Security Association, los virus macro forman el 80% de todos

los virus y son los que más rápidamente han crecido en toda la historia de las computadoras.

A diferencia de otros tipos de virus, los virus macro no son exclusivos de ningún sistema

operativo y se diseminan fácilmente a través de archivos adjuntos de e-mail, disquetes,

bajadas de Internet, transferencia de archivos y aplicaciones compartidas.

• Los virus macro son, sin embargo, aplicaciones específicas. Infectan las utilidades macro que

acompañan ciertas aplicaciones como el Microsoft Word y Excel, lo que significa que un Word

virus macro no puede infectar un documento Excel y vice versa. En cambio, los virus macro

viajan entre archivos en las aplicaciones y pueden, eventualmente, infectar miles de archivos.

o

Software Antivirus

▪ Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los

antivirus han evolucionado hacia programas más avanzados que no sólo buscan detectar un Virus

informáticos, sino bloquearlo para prevenir una infección por los mismos, así como actualmente ya

son capaces de reconocer otros tipos de malware, como spyware, rootkits, etc.

▪ Identificación “heurística” del posible virus

▪ El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa

en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o

EXTRACTOS DEL LIBRO



60

vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia una

computadora.

▪ Es un programa o conjunto de ellos, capaz de identificar archivos que alojan un virus informático,

con capacidad para desinfectarlos y eliminarlos.

▪ Principales antivirus: McAfee, Norton, AVG, Panda, etc.

▪ Detectar y eliminar virus

▪ Proteger de los virus en memoria

▪ Eliminar los virus insertos en discos, archivos y redes

Spyware

▪ Son aplicaciones cuyo propósito es el envío de datos del sistema donde están instaladas,

mediante la utilización secreta de la conexión a la red, a un lugar exterior, el cual por lo general

resulta ser una empresa de publicidad de Internet. Estas acciones son llevadas a cabo,

obviamente, sin el conocimiento del usuario

▪ También conocidos como Adware (Advertissing Supported Software

o Información enviada dependiendo del spyware:

o Número de conexiones

o Duración de las conexiones

o Sistema operativo utilizado

o Paginas visitadas

o Tiempo de estancia en las mismas

o Banners sobre los que se pulsa

o Descargas de archivos efectuadas

o Dirección de correo electrónico

o Número de dirección IP

o DNS de la dirección que efectúa la conexión, es decir, ISP y área del país

o Número de teléfono al que se realiza la conexión y contraseña de la misma, si ésta última

esta guardada

o Listado de todo el software instalado, extraído del registro

¿Para qué se utiliza la información recolectada?

▪ Lo que se conoce es que esa información es comercializada por la compañía que la adquiere e

incluso, en ocasiones, es transmitida a otras empresas similares, con motivos publicitarios. Pero a

final de cuentas no se sabe a dónde finalmente va a parar esa información.

▪ El spyware se utiliza en muchas de las aplicaciones shareware, freeware, y sobre todo en las

aplicaciones gratuitas que incorporan publicidad.

▪ Pueden estar totalmente ocultos en la aplicación, sin ninguna sospecha de su presencia o pueden

estar incluidos dentro de uno de los tantos banners publicitarios que acompañan las herramientas

libres.

EXTRACTOS DEL LIBRO



61

▪ Generalmente, cuando se instala la aplicación, se instala junto con él un enlace dinámico de

librerías (archivos.dll), la cual se instala automáticamente en la carpeta System de Windows,

cuando se instalan los programas que lo incorporan. (Ej: Programas espía tipo Aureate, difundidos

por la empresa Radiate).

¿Quién creó los Spyware?

▪ Se desconocen los primeros creadores.

▪ Fueron descubiertos en enero de 2000 por Steve Gibson, un experto en seguridad que detectó un

programa desconocido intentando utilizar su conexión a Internet.

▪ Algunas de las principales compañías desarrolladoras de aplicaciones que incluyen spyware son:

Radiate, Real Networks, Netscape, Doubleclick, Mattel y Comet Systems.

▪ Los programas que permiten compartir archivos van de la mano con los spyware. Por ej:

Audiogalaxy y KaZaa, se han aliado a empresas de marketing para incluir en su instalación la

incorporación de los archivos espía.

Efectividad

▪ El alcance de su objetivo principal tiene al menos el 99% de efectividad siempre y cuando el

usuario tenga conexión a Internet. No necesariamente la conexión tiene que estar abierta. Algunos

spyware son capaces de activarse solos sin que el usuario esté navegando.

▪ La única forma en que puede anularse la efectividad del spyware es bloqueándolo.

¿COMO BLOQUEAR UN SPYWARE?

▪ Se pueden utilizar algunas aplicaciones que buscan en el disco duro la presencia de este tipo de

software y los desinstalan. Además, algunos eliminan cookies de compañías de las cuales se sabe

que violan la privacidad de los usuarios.

Criptografía

• La Criptografía es la técnica que permite modificar un mensaje a través del uso de un sistema de

codificación de textos.

• Gracias a la criptografía el mensaje resulta ilegible y, por tanto, podemos enviar información a

través de la red con la seguridad de que el mensaje no será visto por terceros.

Conceptos

• En la jerga de la criptografía, la información original que debe protegerse se denomina texto

en claro.

• El cifrado es el proceso de convertir el texto plano en un galimatías ilegible, denominado texto

cifrado o criptograma.

• Por lo general, la aplicación concreta del algoritmo de cifrado (también llamado cifra) se basa

en la existencia de una clave: información secreta que adapta el algoritmo de cifrado para

cada uso distinto.

EXTRACTOS DEL LIBRO



62

• Las dos técnicas básicas de cifrado en la criptografía clásica son:

o la sustitución, que supone el cambio de significado de los elementos básicos del

mensaje -las letras, los dígitos o los símbolos- y

o la transposición: que supone una reordenación de las mismas;

• La gran mayoría de las cifras clásicas son combinaciones de estas dos operaciones básicas.

• El descifrado es el proceso inverso que recupera el texto plano a partir del criptograma y la

clave.

• El protocolo criptográfico especifica los detalles de cómo se utilizan los algoritmos y las claves

(y otras operaciones primitivas) para conseguir el efecto deseado.

• El conjunto de protocolos, algoritmos de cifrado, procesos de gestión de claves y actuaciones

de los usuarios, en su globalidad es lo que constituyen un criptosistema, que es con lo que el

usuario final trabaja e interactúa.

Términos

▪ Texto original (plaintext): La información se encuentra en su forma original. Conocido también

como texto simple (cleartext).

▪ Texto cifrado (ciphertext): La información después que ha sido ofuscada por el algoritmo de

encriptación.

▪ Algoritmo: Método de manipulación utilizado para cambiar el texto original a texto cifrado.

▪ Clave: Datos de entrada al algoritmo para que transforme el texto original a cifrado.

▪ Encriptación: Proceso de realizar el cambio de texto original al cifrado.

▪ Desciframiento: Proceso de efectuar el cambio del texto cifrado al original.

▪ Criptografía: Arte de encubrir la información mediante el uso de encriptación.

▪ Criptógrafo: Individuo que practica la Criptografía.

▪ Análisis criptográfico: Arte de analizar algoritmos criptográficos con la intención de identificar

debilidades.

▪ Analista criptográfico: Individuo que utiliza análisis criptográfico para identificar y utilizar las

debilidades en los algoritmos criptográficos.

Tipos de Claves

• CLAVE SIMETRICA.- Uso de una única clave para encriptar y desencriptar un mensaje

• CLAVE ASIMETRICA.- Utilización de un par de claves. Lo que una clave encripta, la otra

clave lo desencripta y viceversa.

• LA CLAVE PRIVADA.- Queda dentro del ámbito del emisor

• LA CLAVE PUBLICA.- Es la que se da a conocer a terceros

Ataques en contra de la encriptación

▪ Los sistemas de encriptación pueden ser atacados de tres maneras:

o A través de las debilidades en el algoritmo.

o Mediante la fuerza bruta en contra de la clave.

o Por medio de las debilidades en el sistema de entorno.

EXTRACTOS DEL LIBRO



63

Códigos de sustitución

▪ Reemplaza ó cambia elementos en el texto por otros.

▪ Es simple, y funciona bien mientras que el remitente y el receptor usen el mismo esquema de

sustitución: la clave es el “libro de códigos” usado para los reemplazos.

▪ Puede ser descifrado empleando análisis de la frecuencia de los códigos presentes en el mensaje

cifrado.

▪ El precursor, la clave numérica M-U-R-C-I-E-L-A-G-O que equivale a 0-1-2-3-4-5-6-7-8-9

Libretas de un único uso

▪ Las libretas de un único uso (one-time pads - OTP) constituyen el único sistema de encriptación

teóricamente indescifrable.

▪ Una OTP es una lista de números en orden completamente aleatorio que se emplea para codificar

un mensaje.

▪ Sólo debe utilizarse una vez.

▪ Si los números en la OTP son verdaderamente aleatorios y la OTP es mas larga que el mensaje,

el texto cifrado no proporciona ningún mecanismo para recuperar la clave original.

▪ Si las libretas no son verdaderamente aleatorias, surgen patrones que pueden emplearse para

realizar un análisis de frecuencias.

▪ Si las OTP se utilizan mas de una vez, pueden ser analizadas y descifradas.

▪ Su uso no es viable generalmente en entornos con abundante tráfico.

“Pretty Good Privacity” - PGP

▪ Privacidad bastante buena o PGP es un programa cuya finalidad es proteger la información

distribuida a través de Internet mediante el uso de criptografía de clave pública, así como facilitar

la autenticación de documentos gracias a firmas digitales.

▪ Puede proporcionar un gran nivel de seguridad. Es más, observadores informados creen que ni

siquiera las agencias del gobierno estadounidense como la NSA son capaces de descifrar

directamente mensajes generados adecuadamente con PGP.

▪ PGP es más fácil de utilizar que muchos otros criptosistemas, pero como ocurre siempre en el

campo de la criptografía, su implementación y su utilización influyen muchísimo en la seguridad

lograda.

▪ Existe la posibilidad de que haya errores en la implementación, y si se utiliza descuidadamente es

posible desproteger fácilmente un archivo de texto protegido. Cualquier criptosistema puede ser

inseguro, independientemente de lo bueno que sea su diseño.

▪ A diferencia de protocolos de seguridad como SSL, que sólo protege los datos en tránsito (es

decir, mientras se transmiten a través de la red), PGP también puede utilizarse para proteger datos

almacenados en discos, copias de seguridad, etc.

EXTRACTOS DEL LIBRO



64

ESTEGANOGRAFIA

• Es la técnica del ocultamiento de mensajes.

• Mediante la esteganografía se pueden incluir mensajes dentro de una archivo gráfico, sea un

dibujo, una foto o un archivo de audio.

• Generalmente se esconden en archivos de extensión BMP, GIF o JPG o en archivos de audio con

extensión WAV.

• El programa S-tool 4.0 nos permite utilizar esta técnica

▪ Rama de la criptología que trata sobre la ocultación de mensajes, para evitar que se perciba la

existencia del mismo.

▪ Es el arte y ciencia de escribir mensajes secretos de tal forma que nadie fuera de quien lo envía y

quien lo recibe sabe de su existencia; en contraste con la criptografía, en donde la existencia del

mensaje es clara, pero el contenido del mensaje está oculto.

▪ Por lo general un mensaje de este tipo parece ser otra cosa, como una lista de compras, un

artículo, una foto, etc.

▪ Los mensajes en la esteganografía muchas veces son cifrados primero por medios tradicionales,

para posteriormente ser ocultados por ejemplo en un texto que pueda contener dicho mensaje

cifrado, resultando el mensaje esteganográfico.

▪ Un texto puede ser manipulado en el tamaño de letra, espaciado, tipo y otras características para

ocultar un mensaje, sólo el que lo recibe, quien sabe la técnica usada, puede extraer el mensaje y

luego descifrarlo.

Ingeniería social

• La definición políticamente correcta de las técnicas de ingeniería social dice que se trata de

combinar conocimientos de psicología, engaños y fallas en los procesos para obtener accesos no

autorizados a información confidencial, sin necesidad de aplicar estudios avanzados de tecnología.

• Es decir, que en vez de vulnerar una aplicación para ganar un acceso, se trata directamente de

conseguir el nombre de usuario y el password por otros medios.

• Se puede decir que las técnicas de ingeniería social descansan, en su base, sobre la forma en que

los seres humanos toman decisiones.

• En la jerga del hacking, se dice que la ingeniería social trabaja sobre las “vulnerabilidades de las

personas”.

• Si no es necesario poseer conocimientos avanzados de tecnología, se amplía muchísimo el rango

posible de atacantes.

• De hecho, para alguien que se dedica a realizar fraudes más tradicionales, estas técnicas poseen

una baja barrera de entrada a la vez que representan una gran oportunidad y un riesgo menor

debido al vacío legal existente en este tipo de delitos.

• Además, cuando se realiza una acción de engaño sobre una persona,¿dónde queda registrado?

Acertó: en ningún lado! Es decir que este tipo de ataques, son prácticamente indetectables. Y esta

es la principal razón por la cual prácticamente no existen estadísticas al respecto!

EXTRACTOS DEL LIBRO



65

• Adicionalmente, se suele decir que si uno quiere evitar el robo de una determinada información, en

el peor de los casos, con dejar el servidor desconectado o aislado de Internet, es suficiente.

• Si no se cuentan con los controles adecuados, el hacker podría hacerse pasar por empleado de la

empresa (o de un tercero con permiso de acceso), llegar hasta el servidor, copiar la información

manualmente y salir.

• Agunas de las técnicas empleadas:

o Phishing: engaño a través de páginas web falsas o de correos electrónicos que

recolectan información confidencial de las personas para realizar fraudes.

o Quid pro quo: técnica a través de la cual el atacante ayuda a su interlocutor a cambio

de solicitarle datos confidenciales. La versión más conocida de este ataque es

aquella en la que el atacante se hace pasar por un empleado del helpdesk de la

empresa para obtener nombres de usuarios y contraseñas de las personas que

contacta.

o Phone phishing: engaño a través de comunicaciones telefónicas, donde el atacante

típicamente utilizar un IVR falso (como si fuera el contestador de una empresa

legítima) para engañar y obtener información.

o Baiting: abuso de la curiosidad humana para lograr que un medio infectado sea

utilizado dentro de la organización y de esa manera instalar software ilegal que

permita luego acceder a la información confidencial.

o Thrashing: se trata de obtener datos confidenciales revisando los documentos y

demás elementos que fueron arrojados a la basura, tanto de una organización como

de un empleado en particular. Resúmenes de tarjetas de crédito, informes, nóminas

de empleados, reportes de logística, contratos en borrador y casi cualquier tipo de

información es susceptible de ser hallada a través de esta técnica.

o Pretexting: se trata de crear un engaño a partir de contar con determinadas piezas de

información verdadera, que induzcan a la víctima a confiar en el atacante y revelar

información confidencial. La información de base para realizar el ataque en general

no es importante para el atacante, cuyo objetivo verdadero es otro, pero ayuda a

crear el escenario para que el engaño sea efectivo.

• Aclaración: en este caso puntual, cuando hablamos de “algunas de las técnicas empleadas”, es

importante recalcar la literalidad de la frase. Y es que sencillamente no existe una documentación

completa de las técnicas de ingeniería social utilizadas porque al depender del ingenio humano y

de la situación particular de cada ataque, es posible crear engaños nuevos todo el tiempo.

• Después de haber visto en la edición anterior algunas de las técnicas de Ingeniería social que se

utilizan actualmente, alguien podría pensar que si estos tipos de ataques no están tan difundidos

es porque no representan tanto peligro. Y allí puede aparecer la pregunta¿Por qué comenzar a

hablar ahora de Ingeniera social?

• Es que estamos en una época en la cual la Ingeniera social está viviendo un verdadero auge,

alentada por algunos factores como: crecimiento tecnológico sin procesos, movilidad y

conectividad, y redes sociales.

• Cuando hablamos de “crecimiento tecnológico sin procesos”, nos referimos a un doble efecto que

podemos encontrar en las organizaciones. En primer lugar, durante los últimos tres años la

EXTRACTOS DEL LIBRO



66

mayoría de las empresas han realizado —en mayor o menor medida— inversiones en tecnología

relacionada a la seguridad, por lo cual existe una peligrosa sensación de seguridad que sin duda

dejar lugar para el aprovechamiento de actividades maliciosas, simplemente porque la tecnología

no alcanza por sí sola para ofrecer seguridad, y mucho menos ante escenarios de ataque de

Ingenieria social.

• En segundo lugar, las implementaciones tecnológicas que se realizaron no fueron acompañadas

por un esfuerzo similar en las áreas de procesos y procedimientos, que son justamente las

principales armas frente a la Ingenieria social (junto con la concientización). Es decir, que si

sumamos una falsa sensación de seguridad junto con la falta de controles adecuados,

encontramos un terreno propicio para el desarrollo de estas técnicas.

• Lo cierto es que es mucho más difícil implementar procesos que tecnología, y no porque las

tecnologías sean sencillas ni mucho menos! Tengamos en cuenta que si tomamos como

referencia la principal norma internacional relacionada a la seguridad de la información, es decir la

ISO 27000, realizar una implementación de los lineamientos de la norma en una organización

promedio toma entre 2 y 3 años, considerando que luego de la implementación y a través del

sistema de mejora continua, se irán mejorando los controles y procesos hasta alcanzar una

madurez hasta dentro de otros 2 o 3 años posteriores. Adicionalmente, implementar este tipo de

normas requiere apoyo y participación de toda la organización, lo cual ya de por sí representa un

reto muy difícil de alcanzar.

• Respecto a la conectividad y la movilidad, sin duda que muchas veces van a favor de las técnicas

orientadas al engaño, ya que ahora ni siquiera es necesario ingresar a la empresa para acceder a

la información, porque los usuarios la llevan consigo todo el tiempo! Desde algo tan sencillo

(comparado con vulnerar un sistema informático) como robar la PDA de un Gerente para sustraer

datos, hasta la instalación de accesos Wi-Fi falsos para obtener información de forma ilegal,

existen gran variedad de técnicas que combinan algún tipo de conocimiento técnico con otro tipo

de tácticas.

• Más allá de la falta de concientización que hace tiempo se advierte en relación con las tecnologías

móviles, gracias a lo cual es muy difícil encontrar que existan controles implementados para este

tipo de tecnologías, las técnicas de Ingeniería social pueden ser efectivas incluso en contextos

donde a nivel tecnológico se han tomado los recaudos mínimos necesarios.

• Adicionalmente, el auge de las redes sociales sin duda está dando mucho impulso al surgimiento

de nuevas formas de ataque, relacionadas con la Ingeniería social.

• Lo cierto es que existen técnicas, como el cross-side scripting, a través de las cuales es posible

obtener datos privados de la persona sin siquiera necesitar su usuario y contraseña, a través de un

engaño. En general, los ataques realizados a las redes sociales se realizan sobre la base de que

las aplicaciones no son vulnerables, y se trata de plantear un escenario de engaño que por sí solo

no genera el ataque, sino que sirve de base para la realización de la intrusión propiamente dicha, o

la obtención de información que permita luego ganar un acceso no autorizado.

• Incluso, sin necesidad de violar una restricción de seguridad, las redes sociales son muchas veces

fuente de información para producir luego otros ataques. Tengamos en cuenta que hay empresas

que comenzaron a utilizar información disponible en Facebook o en LinkedIN (por nombrar

solamente a algunas fuentes) para incorporarla a sus procesos de selección de personal. Y

EXTRACTOS DEL LIBRO



67

entonces¿por qué no podría encontrar un hacker allí mismo información valiosa para sus

propósitos?

• Datos tales como cuándo una persona está de viaje y dónde, quiénes son sus conocidos, dónde

se desempeñó laboralmente y con quiénes, a qué lugares suele concurrir, y quiénes son sus

familiares, entre otros, son generalmente fáciles de conseguir a través de redes sociales. Sin duda,

esto representa una gran tentación para quien se dedica a realizar ilícitos relacionados al fraude.

• En definitiva, y si bien es cierto que no existe tal cosa como un grado de seguridad total o de

riesgo cero, también frente a estos escenarios es posible tomar ciertos recaudos que eleven el

nivel de protección de la información.

• Para las organizaciones, las recomendaciones generales son:

• Concientizar permanentemente a los empleados, clientes y proveedores acerca de los riesgos

inherentes a las distintas actividades.

• Implementar, controlar y mejorar políticas y procedimientos específicos para la seguridad de la

información en todas las áreas de la empresa.

• Utilizar la información de los elementos de control tecnológico para medir posibles brechas de

seguridad asociadas a la Ingeniería social.

• Contar con apoyo externo especializado para realizar auditorías y análisis de riesgo periódicos

que incluyan tanto a la infraestructura tecnológica como a los procesos y procedimientos.

• Ser extremadamente cuidadoso con la información pública que se almacena en redes

sociales.

• No llevar información confidencial fuera de la empresa (siempre debería ser posible acceder

en forma remota).

• Habilitar las conexiones Wi-Fi en las PDAs y notebooks solamente cuando se las está

utilizando.

• Participar de todas las actividades de concientización que se ofrecen tanto en la propia

organización como a través de medios especializados en seguridad de la información.

Seguridad Informática

• Es el conjunto de medidas preventivas, de detección y corrección destinadas a proteger la

integridad, confidencialidad y disponibilidad de los recursos informáticos.

¿Qué es Seguridad Informática?

• Confidencialidad, asegurar que la información es entregada de forma autorizada a quien la

requiere. ACCESOS

• Integridad, asegurar que la información es modificada en forma apropiada y por el personal

facultado para dicho efecto. Previene modificaciones no autorizadas a la información y a los

sistemas.

• Disponibilidad, asegurar que la información y los sistemas brindan oportunamente los servicios

para los que fueron destinados.

EXTRACTOS DEL LIBRO



68

RIESGOS O AMENAZAS

Autenticación

• Autenticación, en su forma más básica, es simplemente el proceso de verificar la identidad de

alguien.

• La identificación debe darse por al menos dos de las siguientes cosas:

o Algo que el usuario conozca (una contraseña)

o Algo que el usuario tenga (una tarjeta magnética)

o Algo que sea una propiedad intrínseca del usuario (la huella dactilar, el iris, la retina, la

voz)

Autenticación por Contraseñas o Passwords

• Las contraseñas o passwords son elementos utilizados para la autenticación sirven para acceder a

los sistemas que utilizamos según nuestro ROL o funcion.

• Es un secreto compartido únicamente entre el sistema y uno.

• Recomendaciones para contraseñas (password).

• Asigna contraseñas Fáciles de Recordar, pero Difíciles de Adivinar

• Utiliza caracteres combinados, tanto numéricos (0-9) como alfabéticos (A-Z, a-z)

EXTRACTOS DEL LIBRO



69

• Cambia tus contraseñas con frecuencia y ante la sospecha de que alguien más la conoce

• Ser cuidadoso al digitar tu contraseña. No permitas que otras personas lo vean

• Prueba usando la letra inicial de cada palabra de una frase que no te olvidarás

o (Pablo Neruda 20 poemas de amor y una canción desesperada = PN2pdayucd)

Control de Acceso

• El control de acceso es el mecanismo de seguridad a través del cual se otorgan los privilegios

que requieres para realizar tus actividades diarias en los sistemas de Información. Consta de

tres elementos: Autenticación, Autorización y Monitoreo

Control de Acceso

• Si tienes personal a tu cargo

• Periódicamente realice la certificación de sus permisos según el ROL o funciones.

• Si el personal a su cargo cambió de funciones, solicita el cambio de ROL

• Si el personal a su cargo cambio de sector

• Recomendaciones

o No utilices la clave de otro usuario

o No prestes tu clave a otra persona.

o Recuerda que todo lo que se opere en el sistema con su clave, quedará registrado, y será

su responsabilidad.

o No permitas que otras personas que hayan trabajado en su área conserven los permisos

erróneos

Medios en donde reside la información

• Papel: documentos impresos, anotaciones, resúmenes de cuentas, informes oficiales, planillas

e informes de trabajo, documentación de clientes, firma de clientes, comunicaciones internas,

manuales. Mapas y planos.

• Equipos informáticos: bases de datos, sistemas aplicativos, PCs, computadoras portátiles,

Intranet, Internet.

• Comunicación: telefonía por cable, telefonía móvil, fax, transmisiones satelitales, video

conferencias.

• Soportes magnéticos: diskettes, discos compactos. cintas magnéticas, dispositivos USB de

almcenamiento, MP3, MP4, chips.

• Personas:

Conocimiento, habilidades, aptitudes intelectuales. Memoria, sobre información vista,

escuchada o analizada.

La importancia de la protección

• ¿Es Importante para mi?

EXTRACTOS DEL LIBRO



70

o Si, pues debo proteger mi identidad, privacidad para que no sean utilizados por

terceros en forma inadecuada.

• ¿Es Importante para mi organización?

o Para poder proteger los recursos de la organización. Como la información,

comunicación, etc.

o Una amenaza directa a la seguridad de nuestros sistemas, significaría una amenaza

directa a nuestros negocios.

o Posee información privada de terceros.

¿Sabe cuáles son las Responsabilidades?

▪ Preservar la Seguridad de la información que manejas en el desempeño diario de tus actividades.

▪ Leer en Intranet las comunicaciones de Seguridad para mantenerte actualizado sobre debilidades

o advertencias en seguridad informática.

▪ Revisar periódicamente los privilegios de acceso a cada sistema, del personal a tu cargo conforme

a sus funciones y responsabilidades.

▪ Hacer buen uso del hardware y software que tienes en tu computadora.

▪ Evitar la divulgación de información confidencial, tal como: información de clientes, negocios y

sistemas.

▪ Leer, comprender y alinearte con al Código de Conducta.

▪ Reportar al área de Seguridad informática cualquier evento que ponga en riesgo la

confidencialidad de la información, tales como virus, código malicioso o fuga de información.

▪ Realizar actividades de trabajo exclusivamente con los equipos asignados.

▪ No utilizar equipos personales para trabajar con la información de tu empresa.

▪ Utilizar las instalaciones de la organización exclusivamente para realizar trabajos relacionados a

tus funciones y responsabilidades. No para fines personales.

▪ Practicar las recomendaciones de SEGURIDAD

▪ Trabajar en lo posible sobre los servidores. La información allí contenida se resguarda

periódicamente, según lo indicado por el responsable de la información

Recomendaciones de Seguridad

▪ Antivirus

o El antivirus corporativo debe mantenerse actualizado. No lo desactives bajo ningún

concepto.

▪ Cuidados de tu PC (desktop/laptop)

o No dejes nunca una sesión abierta cuando abandones tu lugar

o Cuando viajes, nunca la dejes fuera de tu vista

o No dejes tu computadora encendida

o Cuando vayas a utilizar por un tiempo prolongado, apágala y/o utiliza el protector de

pantalla con contraseña

▪ Correo electrónico de dudosa procedencia

EXTRACTOS DEL LIBRO



71

o Elimina los correos de dudosa procedencia. Puede ser de riesgo por no conocer al

remitente o porque tenga archivos adjuntos que pueden contener virus o código malicioso

▪ Software legal

o Utiliza solamente las aplicaciones permitidas por HSnn. El uso de software no permitido

puede poner en riesgo la información y/o tener consecuencias legales

▪ Uso de Internet

o Obtén la autorización correspondiente para el acceso a Internet

o Utiliza Internet para fines relacionados con tus funciones y responsabilidades del área de

negocio a la que perteneces

▪ Cuida tu entorno de trabajo

o Mantener el escritorio limpio de notas, formularios, informes, diskettes o dispositivos USB

o Cerrar con llave. si es posible, los escritorios, puertas y armarios

o Retira de la impresora los documentos que mandas a imprimir

▪ Destrucción de la información

o Ya sea en papel o medio magnético, destruye la información que ya no es útil según su

nivel de criticidad

▪ Implementación de nuevos sistemas.

o Implementación de UAT en los que S.I. deba dar su aprobación.

o Detección de accesos no autorizados a sistemas y recursos.

o Consultas sobre virus.

o Altas, Bajas y Modificaciones de usuarios.

Seguridad Informática

▪ Una falla de seguridad en los sistemas de información puede poner la empresa

▪ La seguridad no es un asunto de especialistas, es un asunto de cada uno.

▪ La seguridad informática es un reflejo para adquirir gestos muy simples pero tan importantes como

cerrar con llave su casa cuando sale.

▪ Políticas

o Procedimientos Técnicos

o Medidas para prevenir los accesos no autorizados

o Alteración de datos

o Robo

o Daño Físico a los SI

Recomendaciones de Seguridad.

▪ Políticas de seguridad precisas y claras

▪ Compromiso del Management

▪ Pensamiento Proactivo - 6 meses

▪ Utilizar en lo posible estándares abiertos de proveedores

▪ Aplicable a todas las arquitecturas

▪ Actualizar periódicamente el sistema operativo y los programas mas frecuentes que utilizamos en

Internet

▪ Configurar adecuadamente los programas que utilizamos para navegar por Internet

EXTRACTOS DEL LIBRO



72

▪ No ingresar a sitios desconocidos o dudosos y menos bajar programas de dichos sitios

▪ Instalar programas o dispositivos “cortafuegos” (firewall)

▪ Utilizar contraseñas “robustas” y cambiarlas periódicamente

▪ Manténgase informado sobre virus, gusanos y troyanos (novedades, nuevos virus, como operan,

alertas, anuncios críticos, etc.) en sitios serios.

▪ Reglas básicas cuando trabajamos en computadoras ajenas:

o No efectuar operaciones delicadas como bancarias o comerciales

o En Hotmail, tildar la opción “No recordar mi dirección de correo electrónico en futuros

inicios de sesión”

o En Hotmail, No elegir la opción “Iniciar sesión automáticamente”

o En Yahoo no tildar la opción “Recordar mi identidad en esta computadora”

o En Yahoo, Seleccionar el modo seguro de envio de datos (en Hotmail esto es automático)

o Cerrar totalmente la sesión de correo (En hotmail seleccionar “Cerrar sesión” y en Yahoo

“Salir” y luego “Salir por completo de Yahoo”)

o Al iniciar una sesión de chat, no seleccionar “Recordar mi nombre y contraseña en este

equipo”

o Asegurarse de seleccionar la opción “Cerrar sesión” al finalizar dado que con solo cerrar

la ventana, la sesión continúa abierta.

o Eliminar todos los archivos que se bajan al finalizar la sesión.

Check list de Seguridad

▪ Puntos principales de vulnerabilidad

o La entrada

o En los modelos (los programas con virus)

o En la salida (robada o copiada)

o El hardware puede fallar

o Las telecomunicaciones pueden fallar

o Los delitos

o Controles Básicos:

▪ Administrativos

▪ Control del personal

▪ tener un plan estratégico

▪ Seguros

▪ Plan de contingencias ante desastres

o Plan de prevención

o Plan de contención

o Plan de recuperación

o Plan de funcionamiento

o Estrategias alternativas

▪ Back up propio

▪ Back-up compartido

▪ Servicio de emrgencia del proveedor

▪ Back-up parcial

EXTRACTOS DEL LIBRO



73

▪ Controles de entrada

▪ Passwords

▪ Formatos de pantalla

o Verificación

o Totales de control

o Dígito verificador

o Verificación de consistencia de campos y caracteres

o Control de procesamiento

o Verificación de límite o racionalidad

o Pruebas aritméticas

o Verificación de secuencia

o Registros de errores y de transacciones

▪ Control de Base de Datos

o Físicos

o Lógicos

o Controles de salida

o control de la documentación de sistemas

o control de los equipos

o Controles de seguridad

▪ Peligros

▪ Fallas

▪ Fraudes

▪ Incendios

▪ Sabotajes

▪ Desastres naturales

o Objetivos de los controles

o Disuadir

o Detectar

o Minimizar

o Investigar

o Recuperar

o Técnicas físicas

▪ De acceso

▪ Ubicación física

▪ Protección física

▪ Técnicas Lógicas

▪ Integridad

o Aislamiento

o Privilegio de acceso

o Encriptado

o Identificación

o Matriz de peligros y controles

o Mezcla óptima

EXTRACTOS DEL LIBRO



74

Seguridad Física

Seguridad física

▪ De nada sirve una implementación de seguridad informática, si la seguridad física no es buena

▪ Garantiza la integridad de los activos humanos, lógicos y material de un CPD.

▪ No están claras los límites, dominios y responsabilidades de los tres tipos de seguridad que a los

usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones

▪ Se deben tener medidas para atender los riesgos de fallos, local o general.

Medidas

▪ Antes

o Obtener y mantener un nivel adecuado de seguridad física sobre los activos

o Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas,

gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo.

o El nivel adecuado de seguridad física, o grado de seguridad, es un conjunto de acciones

utilizadas para evitar el fallo, o aminorar las consecuencias.

o Es un concepto general, no solo informático, en las que las personas hagan uso particular

o profesional de los entornos físicos.

EXTRACTOS DEL LIBRO



75

o Ubicación del edificio

o Ubicación del CPD

o Compartimentación

o Elementos de construcción

o Potencia eléctrica

o Sistemas contra incendios

o Control de accesos

o Selección del personal

o Seguridad de los medios

o Medidas de protección

o Duplicación de los medios

▪ Durante

o Desastre: es cualquier evento, que cuando ocurre, tiene la capacidad de interrumpir e

normal proceso de una empresa.

o Se debe contar con los medios para afrontarlo cuando éste ocurra.

o Los medios quedan definidos en el Plan de recuperación de desastres, junto con el

centro alternativo de proceso de datos, constituyen el Plan de Contingencia.

o Plan de contingencia inexcusablemente debe:

▪ Realizar un análisis de riesgos de sistemas críticos

▪ Establecer un período crítico de recuperación

▪ Realizar un análisis de las aplicaciones críticas estableciendo prioridades de

proceso.

▪ Establecer prioridades de procesos por días del año de las aplicaciones y orden

de los procesos

▪ Establecer objetivos de recuperación que determinen el período de tiempo

(horas, dias, semanas) entre la declaración del desastre y el momento en que el

centro alternativo puede procesar las aplicaciones críticas.

▪ Designar, entre los distintos tipos existentes, un centro alternativo de proceso

de datos.

▪ Asegurar la capacidad de las comunicaciones

▪ Asegurar la capacidad de los servicios de Back-up

▪ Despues

o De la gama de seguros pueden darse:

▪ Centro de proceso y equipamiento

▪ Reconstrucción de medios de software

▪ Gastos extra (continuidad de las operaciones y permite compensar la ejecución

del plan de contingencia)

▪ Interrupción del negocio (cubre pérdidas de beneficios netos causados por la

caida de sistemas)

o Documentos y registros valiosos

o Errores y omisiones

o Cobertura de fidelidad

o Transporte de medios

EXTRACTOS DEL LIBRO



76

o Contratos con proveedores y de mantenimiento

Áreas de la seguridad física

▪ Edificio:

o Debe encargarse a peritos especializados

o Las áreas en que el auditor chequea directamente:

▪ Organigrama de la empresa

▪ Dependencias orgánicas, funcionales y jeráraquicas.

▪ Separación de funciones y rotación del personal

▪ Da la primera y más amplia visión del Centro de Proceso

o Auditoria Interna

▪ Personal, planes de auditoria, historia de auditorias físicas

o Administración de la seguridad

▪ Director o responsable de la seguridad integral

▪ Responsable de la seguridad informática

▪ Administradores de redes

▪ Administradores de Base de datos

▪ Responsables de la seguridad activa y pasiva del entorno físico

o Normas, procedimientos y planes existentes

▪ Centro de proceso de datos e instalaciones

▪ Entorno en donde se encuentra el CPD

▪ Sala de Host

▪ Sala de operadores

▪ Sala de impresoras

▪ Cámara acorazada

▪ Oficinas

▪ Almacenes

▪ Instalaciones eléctricas

▪ Aire acondicionado

o Equipos y comunicaciones

▪ Host, terminales, computadores personales, equipos de almacenamiento masivo

de datos, impresoras, medios y sistemas de telecomunicaciones.

▪ Seguridad física del personal

▪ Accesos seguros

▪ Salidas seguras

▪ Medios y rutas de evacuación, extinción de incendios, sistemas de bloqueos de

puertas y ventanas

▪ Normas y políticas emitidas y distribuidas al personal referente al uso de las

instalaciones por el personal

EXTRACTOS DEL LIBRO



77

Auditoría Física

▪ Debieran estar accesibles:

o Políticas, normas y planes de seguridad

o Auditorías anteriores, generales o parciales

o Contratos de seguros, de proveedores y de mantenimiento

o Actas e informes de técnicos y consultores

o Informes de accesos y visitas

o Informes sobre pruebas de evacuación

o Políticas del personal

o Inventarios de soportes (back-ups, procedimientos de archivos, controles de salida y

recuperación de soporte, control de copias, etc.)

▪ Técnicas:

o Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos,

etc. (tanto de espectador como actor)

o Revisión analítica de:

▪ Documentación sobre construcción y preinstalaciones

▪ Documentación sobre seguridad física

▪ Políticas y normas de actividad de sala

▪ Normas y procedimientos sobre seguridad física de los datos

▪ Contratos de seguros y de mantenimiento

▪ Entrevistas con directivos y personal fijo o temporal (no es interrogatorio)

▪ Consultas a técnicos y peritos que formen parte de la plantilla o independientes

▪ Herramientas:

o Cuaderno de campo/ grabadora de audio

o Máquina fotográfica / cámara de video

o Su uso debe ser discreto y con autorización

▪ Fases de una Auditoria Fisica considerando la metodología de ISACA (Information Systems Audit

and Control Association)

o Fase 1 Alcance de la Auditoría

o Fase 2 Adquisición de Información general

o Fase 3 Administración y Planificación

o Fase 4 Plan de auditoría

o Fase 5 Resultados de las Pruebas

o Fase 6 Conclusiones y Comentarios

o Fase 7 Borrador del Informe

o Fase 8 Discusión con los Responsables de Area

o Fase 9 Informe Final

▪ Informe – anexo al informe – carpeta de evidencias

o Fase 10 Seguimiento de las modificaciones acordadas

EXTRACTOS DEL LIBRO



78

Domotica

Domótica es la incorporación de tecnologia de control a una vivienda, un edificio o una industria en particular.

Los beneficios al implementar Domótica son múltiples, y en general se suman nuevos todos los dias.

• Ahorro energético.

• Ampliación de la red de comunicaciones.

• Seguridad a nivel personal y patrimonial.

• Asistencia Remota.

• Gestion Remota via medios convencionales (teléfono, radio, internet, tablet, consola juegos,

etc.)

• Mejor Calidad de Vida y Mejores rendimientos en procesos de negocios y productivos.

Aplicaciones de la Domótica

• Dentro de la amplia gama de aplicaciones se destancan:

o Programación y sectorizacion de la climatización.

o Racionalización de consumo energetico:.

o Reduccion de costos relacionados a tarifas.

o Aumento de la seguridad y menores riesgos de exposicion.

• Usos mas destacados

o Automatización del apagado/ encendido en cada punto de luz.

o Regulación de la iluminación según el nivel de luminosidad ambiente.

o Automatización de todos los distintos sistemas/ instalaciones / equipos dotándolos de

control eficiente y de fácil manejo.

o Integración del portero al teléfono, o del videoportero al televisor.

o Detección de un posible intruso.

o Simulación de presencia.

o Detección de conatos de incendio, fugas de gas, escapes de agua.

o Alerta médica. Teleasistencia.

o Cerramiento de persianas puntual y seguro.

o control remoto.

o Transmisión de alarmas.

o Intercomunicaciones.

Plan de Recupero de Desastres

• Business Continuity Plan (BCP)

o Suministra procedimientos para sostener las operaciones esenciales de negocio mientras

se recupera de una interrupción significante.

o Direcciona los procesos de negocio y la tecnología que los soporta.

• Business Recovery (or Resumption) Plan (BRP)

o Suministra procedimientos para recuperación de las operaciones de negocio

inmediatamente después de un desastre.

EXTRACTOS DEL LIBRO



79

o Direcciona los procesos de negocio; La TI está direccionada sólo al soporte para los

procesos de negocio.

• Continuity Of Operations Plan (COOP)

o Suministra procedimientos y capacidades para sostener lo esencial de una organización,

funciones estratégicas en un sitio alterno por más de 30 días.

o Direcciona el conjunto de operaciones de la organización definidas como mas críticas.

• Continuity of Support Plan / IT Contingency Plan

o Suministra procedimientos y capacidades para recuperar grandes aplicaciones o

sistemas de soporte general.

o Losmismo que el plan de contingencia de TI; se centra en la interrupción de los sistemas

de TI; no se centra en los procesos del negocio.

• Crisis Communications Plan

o Proporciona los procedimientos para comunicarse con el personal y con el público en

general.

o Direcciona las comunicaciones con el personal y el publico; no se centra en la TI

• Cyber Incident Response Plan

o Suministra estrategias para detectar, responder, y limitar las consecuencias de incidentes

de seguridad que afectan la continuidad.

o Se centra sobre respuestas de seguridad de la información a incidentes que afectan los

sistemas y / o las redes.

• Disaster Recovery Plan (DRP)

o Suministra procedimientos detallados para facilitar la recuperación de operaciones en un

sitio alterno.

o A menudo centrado en la TI; limitado a interrupciones mayores con efectos a largo plazo.

• Occupant Emergency Plan (OEP)

o Suministra procedimientos coordinados para minimizar las perdidas de vidas o daños a la

propiedad en respuesta a amenazas físicas.

o Se centra en el personal y las instalaciones; no esta diseñada para procesos de negocio

o funcionalidad de los sistemas de TI.

BAU = Business as Usual = Giro Habitual de los negocios / procesos de la organización.

Disaster Recovery Planning

▪ Hacer funcionar la empresa despues del desastre

▪ Proteger activos

▪ Primera recuperación

▪ Demostrar que el plan sirve

▪ El plan debe ser auditado

▪ El plan debe identificar todas las aplicaciones criticas.

▪ El plan debe ser realizable!

▪ Personas ON CALL – Al llamado de telefono

▪ Personas ON SITE – En el lugar de recupero

EXTRACTOS DEL LIBRO



80

Quienes pueden provocar (sin querer… o queriendo) desastres…

▪ Hackers

▪ Creackers

▪ Phrakers

▪ Ex empleados

▪ Personal actual de sistemas

Plan de Contingencia

▪ Plan de Contingencia del Negocio es mayor al Plan de Contingencia Tecnológica

EXTRACTOS DEL LIBRO



81

Desarrollo de Planes de Continuidad del Negocio

▪ Definición del Proyecto

▪ Analisis del impacto en el Negocio

▪ Selección de estrategias

▪ Desarrollo de planes

▪ Pruebas y Mantenimiento

Análisis del Impacto en el Negocio

▪ Análisis de riesgo

▪ Operacional

▪ Físico

▪ Evaluación del Impacto

▪ Financiero

▪ Intangibles (imagen, reputación, legal, salud pública, etc)

▪ Identificación de Procesos y Aplicativos Críticos (métodos alternativos)

▪ Asignación de RTO´s (Recovery Time Objetives)

▪ Evaluación de coberturas de seguros y contratos

Selección de Estrategias

▪ Identificación de recursos

▪ Evaluación de backups

▪ RTO´s – Recovery Time Objectives

EXTRACTOS DEL LIBRO



82

▪ Solución Interna vs. Externa

▪ Ventajas y Desventajas

Desarrollo de Planes

▪ Planes de Emergencia

▪ Plan de Sistemas

▪ Planes por Unidad de Negocios

Métodos: Pruebas y Mantenimiento

▪ Política de Mantenimiento

▪ Plan de Pruebas

Como auditar un Plan de Continuidad de Negocios

▪ Toma de conciencia y Educación

▪ Análisis de impacto en el negocio

▪ Estrategias de Recuperación Tecnología y Negocios.

▪ Desarrollo y documentación del Plan

▪ Mantenimiento del Plan

▪ Pruebas del Plan

PLAN DE CONTINGENCIA

La organización debe estar preparada para la ocurrencia de hechos accidentales, desastres naturales

o actos intencionales que pongan en peligro su normal operatoria.

Siempre se debe asegurar el COB (continuity of business). Las principales causas de la falta de prevención son:

• “No nos puede pasar a nosotros”

• Apatía en los cargos jerárquicos

• Desconocimiento de cómo preparar un plan

• Difícil cuantificación de beneficios

Se deben analizar todos los riesgos, establecer los recursos críticos, elaborar un proyecto, desarrollar el plan y realizar las pruebas pertinentes

• Fase de emergencia: si se produce algún hecho grave, se debe establecer el ambiente de

reconstrucción y recuperación y minimizar los daños ocurridos (las medidas de prevención serán

fundamentales para evitar daños graves).

• Fase de enlace: se deben brindar alternativas de procesamiento para mantener la capacidad

operativa y se deben facilitar las tareas de recuperación del ambiente.

• Fase de back-up: es necesario continuar operando con el procesamiento alternativo proveyendo

los sets de copias de resguardo necesarios para ello.

• Fase de recupero: se debe restaurar totalmente el SI a su normal funcionamiento, discontinuando

la operación con el procesamiento alternativo y convirtiendo las operaciones y archivos del modo

de enlace al modo normal

EXTRACTOS DEL LIBRO



83

Control Interno

▪ Normas y procedimientos

▪ Existentes en el ente

▪ Incorporados en su estructura organizativa

▪ Preventivos

▪ Establecidos para alcanzar los objetivos del ente

▪ Que *actualmente* se realizan...

▪ Característica o Condición Controlada

▪ Actividad qué se controla

▪ Sensor

▪ Elemento de Medición

▪ Grupo de Control o Comparación

▪ Parámetros “normales” de comparación

▪ Grupo Activante

▪ Acciones directivas, restrictivas o correctivas

El Control interno

▪ Cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores

o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus

objetivos.

▪ Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos, simples,

fiables, revisables, adecuados y rentables. Respecto a esto último será preciso analizar el coste-

riesgo de su implantación.

Controles Preventivos

▪ Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida

los accesos no autorizados al sistema.

Controles Detectivos

▪ Controles detectivos: cuando fallan los preventivos, para tratar de conocer cuanto antes el evento.

Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para

detectar errores u omisiones, etc.

Controles Correctivos

▪ Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias. Por

ejemplo, la recuperación de un archivo dañado a partir de las copias de seguridad.

EXTRACTOS DEL LIBRO



84

COSO

▪ C ommittee Of Sponsoring Organizations (of the Treadway Commission)

En 1992, el Committee of Sponsoring Organizations of the Treadway Commission (COSO)

desarrolló un modelo para evaluar controles internos.

Este modelo ha sido adoptado y es generalmente aceptado como marco de trabajo para control

interno. Además, es ampliamente reconocido como el estándar definitivo con el cual pueden las

organizaciones medir la efectividad de sus sistemas de control interno.

▪ Establecer una definición común del CONTROL INTERNO: “Marco de Referencia”

Proporcionar el “marco” para que cualquier tipo de organización pueda evaluar sus SISTEMAS DE

CONTROL y decidir cómo mejorarlos

Ayudar a la dirección de las Empresas a mejorar el CONTROL DE LAS ACTIVIDADES de sus

organizaciones

Definición de Control Interno

▪ ¿Qué es Control Interno?

o Es un proceso efectuado por la Dirección, la alta gerencia y el resto del personal

▪ ¿Para qué?

o Para proporcionar un grado de seguridad razonable en cuanto a la consecución de

objetivos

▪ ¿En qué niveles? (3 Objetivos del Control Interno)

o Eficacia y Eficiencia en las Operaciones

o Confiabilidad de la Información Financiera

o Cumplimiento con las leyes y normas que sean aplicables

Eficacia y Eficiencia en las Operaciones

▪ EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos.

▪ EFICIENCIA: Capacidad de producir el máximo de resultados con el mínimo de recursos, energía

y tiempo. Se refiere básicamente a los objetivos empresariales:

▪ Rendimiento y rentabilidad

▪ Salvaguarda de los recursos

Confiabilidad de la Información Financiera

▪ Elaboración y publicación de Estados Financieros confiables, estados contables intermedios y toda

otra información que deba ser publicada.

▪ Abarca también la información de gestión de uso interno.

EXTRACTOS DEL LIBRO



85

Cumplimiento con las leyes y normas que sean aplicables

▪ Cumplimiento con aquellas leyes y normas a las cuales está sujeta la organización.

▪ De esta forma logra evitar:

o Efectos perjudiciales para la reputación de la organización.

o Contingencias.

o Otros eventos de pérdidas y demás consecuencias negativas.

Los cinco Componentes del Control Interno

▪ Ambiente de control

▪ Análisis de Riesgo

▪ Actividades de Control

▪ Información y Comunicaciones

Ambiente de control

▪ Un adecuado Ambiente de Control se verifica por medio de 7 aspectos:

▪ Integridad y valores éticos

▪ Compromiso de competencia profesional

▪ Filosofía de dirección y el estilo de gestión

▪ Estructura Organizacional

▪ Asignación de autoridad y responsabilidad

▪ Políticas y Prácticas de Recursos Humanos

▪ Consejo de Administración / Comité de Auditoría

Análisis de Riesgos

▪ Un adecuado Análisis de Riesgo se verifica por medio de 4 aspectos:

▪ Objetivos Organizacionales Globales

▪ Objetivos Asignados a cada Actividad

▪ Identificación de Riesgos

▪ Administración del Riesgo y Cambio

Actividades de control

▪ COSO reconoce los siguientes tipos de Actividades de Control:

▪ Análisis efectuados por la dirección

▪ Administración directa de funciones por actividades

▪ Proceso de información

▪ Controles físicos contra los registros

▪ Indicadores de rendimiento

▪ Segregación de funciones

▪ Políticas y procedimientos

EXTRACTOS DEL LIBRO



86

Información

▪ Evaluación adecuada de los mecanismos de información:

▪ La información interna y externa provee a la Dirección los reportes necesarios para el

establecimiento de objetivos organizacionales

▪ Es proporcionada información a las personas adecuadas con suficiente detalle y oportunidad para

cumplir con sus responsabilidades

▪ Los Sistemas de Información están basados en un “plan estratégico” (vinculados a la estrategia

global de la organización)

▪ Apoyo de la dirección al desarrollo de los sistemas de información necesarios (aporte de los

recursos adecuados, tanto humanos como financieros)

Comunicación

▪ Evaluación adecuada de los mecanismos de comunicación:

▪ La Comunicación al personal, es eficaz en la descripción de sus funciones y responsabilidades con

respecto al control Interno.

▪ El establecimiento de canales de comunicación para la denuncia de posibles actos indebidos.

▪ La Alta Dirección es receptiva a sugerencias de los empleados.

▪ La comunicación a través de toda la empresa es efectiva.

▪ Seguimiento oportuno y adecuado de la dirección de la información obtenida de clientes,

proveedores, organismos de control y otros terceros.

Monitoreo y Supervisión

▪ EVALUACION DE LA SUPERVISIÓN y MONITOREO

▪ Supervisión Continua:

▪ ¿En qué medida obtiene el personal -al realizar sus actividades habituales- evidencia del buen

funcionamiento del sistema de control interno?

▪ ¿En qué medida las comunicaciones de 3ros. corroboran la información generada internamente o

advierten problemas?

▪ Comparaciones periódicas de importes registrados contra los activos físicos.

▪ Receptividad ante las recomendaciones de auditores internos y externos.

▪ Grado de comprensión del personal sobre los códigos de ética y conducta (ver si se hacen

encuestas periódicas).

▪ Eficacia de las actividades de Auditoría Interna.

▪ Evaluación periódica puntual:

▪ Alcance y frecuencia

▪ El proceso de evaluación¿es el ideal? (si se hace bien)

▪ La metodología para evaluar el sistema de controles internos¿es lógica y adecuada?

▪ Adecuación de las muestras, son significativas y como está la calidad de la documentación

examinada.

▪ La comunicación de las deficiencias:

▪ Mecanismos para recoger y comunicar cualquier deficiencia detectada en el control interno.

▪ Los procedimientos de comunicación son los ideales.

EXTRACTOS DEL LIBRO



87

▪ Las acciones de seguimiento y mejora continua del sistema de Controles Internos son las

correctas.

Preguntas de Ejecutivos que siguen sin respuestas

▪ ¿Cuánta confianza puedo tener en que la información que recibo refleja completamente la posición

frente al riesgo de la compañía?

▪ ¿Cómo sé si mi capacidad de manejo de riesgos es efectiva?

▪ ¿Qué puedo hacer para mejorar cuando encuentro un problema?

Ley SOX

▪ La Ley Sarbanes-Oxley (SOX) fue establecida en el año 2002 por el Congreso de los Estados

Unidos de América, como respuesta al gran número de escándalos financieros y contables

relacionados con algunas de las más importantes y prominentes compañías en este país: Enron,

World Com, etc.

▪ Dichos escándalos repercutieron negativamente sobre la confianza depositada, por parte de los

accionistas y el Estado en los procesos contables y las prácticas de reporte financiero de las

compañías públicas.

▪ Es de hacer notar que esta ley, en principio, alcanzó únicamente a a aquellas compañías inscritas

en el Security Exchange Comision (SEC) de EEUU.

▪ La Ley Sarbanes–Oxley tiene por objeto principal la protección del accionista mediante la

prevención del fraude financiero y el aseguramiento de que la información presentada en los

mercados sea precisa, completa, fiable, comprensible y se presente en plazo.

▪ La Ley aumentó las responsabilidades corporativas respecto de la emisión de informes financieros

de compañías públicas:

Responsabilidad penal para Ejecutivos.

▪ Establece fuertes reformas en materia de gobiernos corporativos.

▪ Mayores restricciones a los auditores en materia de independencia.

▪ Es una ley severa en materia reglamentaria para la exposición contable, las auditorias, los

balances y para los directores de las empresas.

▪ Aunque incide sobre las empresas estadounidenses, las subsidiarias locales también deben

ajustarse a la nueva normativa.

▪ Incluso, empresas no alcanzadas han aplicado ciertos criterios y procedimientos implícitos en la

ley buscando alcanzar máximos niveles de control.

▪ Esto es así a pesar de que la aplicación de la SOX acarrea altos costos para las empresas, ya que

su implementación en el largo plazo puede redundar en beneficios al intensificar la compañía el

nivel de control

▪ Las TI y el Control Interno constituyen un marco integral para el control y prevención de fraudes

financieros.

▪ El marco de control interno sugerido, para cumplir con los lineamientos establecidos por la Ley

SOX, es el diseñado por el Comité of Sponsoring Organization of Treadway Comision (COSO).

▪ A comienzos de los años 90, el Comité junto con la asesoría de Pricewaterhouse Coopers, realizó

un estudio extensivo sobre controles internos, cuyo resultado fue el marco de control interno

COSO.

EXTRACTOS DEL LIBRO



88

▪ La Ley SOX indica que la conservación y disponibilidad de los documentos en formato digital no

pueden ser modificados por un período de 10 años, lo que implica tres puntos esenciales:

almacenamiento, aplicaciones y políticas y procedimientos.

▪ El primero de ellos debe considerar accesibilidad y capacidad de búsqueda para el manejo de

datos, con opciones de cinta, disco óptico y magnético para conservar la información.

▪ Las aplicaciones deben contar con especificaciones como protección de documentos, clasificación

en línea y capacidad de auditorías.

▪ En lo que respecta a procedimientos, se definen las opciones de cómo los datos serán movidos y

almacenados, además de cómo y cuándo está autorizado el personal de TI para tener acceso y

modificarlo y en qué tiempo se pueden destruir.

▪ Para un buen cumplimiento de la ley se necesitan algunos factores como:

o estructura documentada del control interno;

o mayor transparencia en la eficacia de los controles;

o monitoreo electrónico continuo de las acciones de mejoramiento;

o desarrollo de controles documentados coherentes que se puedan aprovechar en las

múltiples unidades empresariales; y

o procesos acelerados y racionalizados.

o En otras palabras, las empresas se están dando cuenta de que las leyes reglamentarias

simplemente significan utilizar buenas prácticas de seguridad.

Normas de control interno a tener en cuenta en los sistemas interactivos

• Los sistemas interactivos integrados requieren especiales medidas de seguridad por la posibilidad

de actualizar archivos y tablas desde distintas terminales y por diversos empleados.

• Medidas que se recomiendan:

• No puede haber baja física de los registros

o Los sistemas no deben permitir en ningún caso eliminación de registros. Cuando se

lo quiera dar de baja se le colocara un signo, pero la baja física se hará con medidas

de seguridad.

• En ningún archivo se puede modificar los campos valores

o Toda modificación debe hacerse mediante un nuevo registro. La diferencia entre el

original y el nuevo nos dará el valor al cual se desea llegar. Se exige un nuevo

registro para dejar constancia de la modificación

• Archivos protegidos - doble seguridad

o Para los archivos de información confidencial además de la password, es necesario

crear un archivo donde queden registrado los cambios de contraseña y archivos que

se actualizan en orden correlativo.

• Cambio periódico de las contraseñas

o La contraseña debe ser cambiada periódicamente ya que su uso continuo deteriora

el control

• Control de aplicación de pagos recibidos

EXTRACTOS DEL LIBRO



89

o Debe arbitrarse un control mecánico por proceso y con intervención de otro sector

como elemental norma de control interno

• Control del ingreso de datos

o Diariamente debe establecerse listados de control de las operaciones ingresadas, en

cantidad, tipos de registros para cruzar con los totales acumulados en los archivos.

• Control de archivos al inicio y al final del día

o El sistema debe prever al final del día o de cada proceso el control del acumulado de

los archivos en cantidad, tipo de registros y valores.

• Ciclos de retención y back up

o Es necesario grabar todas las novedades que actualizan archivos en otro archivo

lógico, para poder reprocesar ante emergencias.

• Archivos en lugar físico distinto

o Es común para los procesos en lotes. Siempre es necesario que un ciclo de

retención se encuentre físicamente en otro edificio, en prevención de incendios, etc.

• Control y actualización de tablas

o Las tablas que contiene porcentajes, condiciones de bonificación, descuentos,

recargos, intereses, comisiones, etc. Necesitan especiales medidas de seguridad en

un sistema interactivo, ya que su modificación permitirá cometer fraudes, en

procesos supuestamente normales.

• Control actualización archivos con condiciones especiales

o Cuando un archivo como el de clientes, tiene condiciones diferentes para cada uno

de ellos, además de exigirles todos los controles, deben tener un numero correlativo

de modificación de cada registro individual de cliente.

• Listados de Control de Condiciones Especiales

o Cuando el sistema de opción a que el usuario en lagunas operaciones modifique

condiciones que figuran en tablas o archivos esas operaciones deben ser listadas

para el conforme de la respectiva gerencia. Estos listados de excepción deben ser

numerados y contener el código de usuario y fecha donde se realizo la modificación

A fin de minimizar errores, desastres, delitos por computadoras y violaciones de la seguridad, es

preciso incorporar controles.

• Controles: todos los métodos, las políticas y los procedimientos que cuidan la seguridad de los

activos de la organización, la exactitud y fiabilidad de sus registros, y el cumplimiento operativo de

las normas gerenciales.

• El control de un SI debe ser una parte integral de su diseño.

• Los sistemas de computación se controlan mediante una combinación de controles generales y

controles de aplicación

• Controles generales: controles amplios que establecen un marco dentro del cual se controla el

diseño, la seguridad y el uso de los programas de computadora en toda una organización.

• Controles de aplicación: controles específicos, exclusivos para cada aplicación computarizada.

EXTRACTOS DEL LIBRO



90

Controles generales

Cuidan el funcionamiento eficaz de los procedimientos programados y se ejercen sobre toda las áreas de aplicación.

▪ Controles de implementación: auditoria que se hace al proceso de desarrollo de sistemas de diversos puntos, para asegurar que se le maneje y controle debidamente.

▪ Controles de Software: monitorean el uso del software de sistemas y evitan el acceso no autorizado a los programas de aplicación y al software de sistemas.

▪ Controles de Hardware: cuidan que el hardware este protegido físicamente, y detectan fallos en el funcionamiento de los equipos. Lo primero importante para asegurar que sólo personas autorizadas tengan acceso al equipo. Las computadoras necesitan protección especial contra incendios y extremos de temperatura y humedad. Las organizaciones que dependen críticamente de sus computadoras también deben tomar medidas para contar con respaldos de emergencia en caso de faltar la electricidad. Verificaciones de paridad que detecten el mal funcionamiento del equipo responsable del alterar bits dentro de bytes durante el procesamiento.

▪ Controles de operaciones de computación: procedimientos que cuidan que los procedimientos programados se apliquen en forma congruente y correcta al almacenamiento y procesamiento de datos. Esto incluye, además, controles sobre la preparación de trabajos para procesarse en computadoras, sobre el software de operaciones y sobre los procedimientos de respaldo y recuperación, en caso de que el procesamiento termine anormalmente. También incluyen procedimientos manuales, diseñados para prevenir y detectar errores.

▪ Controles de seguridad de los datos: garantizan que los valiosos archivos de datos de negocios grabados en discos o cintas no sufran accesos no autorizados, alteraciones o destrucción. Tales controles sobre los archivos de datos se requieren cuando éstos se están usando y cuando se tienen almacenados. Es más fácil controlar los archivos de datos en los sistemas por lotes, ya que el acceso está limitado a operadores que corren las tareas por lotes. Sin embargo, los sistemas en línea y en tiempo real son vulnerables en diversos puntos. Varios niveles de seguridad: las terminales pueden ser físicamente restringidas; el software puede incluir el uso de palabras de acceso asignada a personas autorizadas.

▪ Controles administrativos: son normas, reglas, procedimientos y disciplinas de control formalizados, para asegurar que los controles generales y de aplicación de la organización se apliquen y cumplan debidamente. Los controles administrativos más importantes son:

• Segregación de funciones: principio de control interno que divide responsabilidades y asigna tareas a las personas, de modo que las funciones no se traslapen y se minimice el riesgo de errores y la manipulación fraudulenta de los activos de la organización.

• Políticas y procedimientos por escrito: establecen normas formales para controlar la operación de los SI. Los procedimientos se deben formalizar por escrito y deben ser autorizados por el nivel gerencial apropiado. Es preciso especificar claramente las obligaciones y las responsabilidades.

• Supervisión: del personal que participa en los procedimientos de control. Mediante la supervisión se detectan las debilidades, corrigen errores y desviaciones.

Controles de aplicación

• Son específicos dentro de cada aplicación de computadora individual. Incluyen procedimientos

automatizados y manuales que aseguran que la aplicación sólo procesará datos autorizados, y

EXTRACTOS DEL LIBRO



91

que lo hará de forma correcta y cabal. Los controles de cada aplicación deben abarcar toda la

sucesión de pasos de procesamiento.

• Controles de entrada: verifican la exactitud e integridad de los datos cuando entran en el sistema.

Son controles específicos para:

o autorizar las entradas; se deben autorizar, registrar y monitorear correctamente

durante el flujo de documentos frente a la computadora.

o convertir datos; las entradas deben convertirse debidamente en transacciones

computarizadas, sin introducir errores al transcribirlas de una forma a otra.

o Establecer totales de control: es un tipo de control de entrada que consiste en contar

las transacciones o los campos de cantidades antes del procesamiento para efectuar

comparaciones y conciliaciones posteriormente.

o Realizar verificaciones de edición: rutinas para verificar los datos de entrada y

corregir errores antes del procesamiento.

• Controles de procesamiento: determinan si los datos están completos y son correctos durante la

actualización. Los principales son:

o totales de control de serie: procedimiento para controlar el grado de actualización por

computadora generando totales de control que concilian los totales antes y después

del procesamiento.

o Cotejo por computadora: control de procesamiento que compara los datos de entrada

con información guardada en archivos maestros.

• Controles de salida: medidas que aseguran que los resultados del procesamiento computarizado

sean correctos, estén completos y se distribuyan debidamente. Los más comunes son:

o cotejar los totales producidos con los totales de entrada y de procesamiento

o revisión de los registros de procesamiento para determinar que todos los trabajos

fueron procesados adecuadamente.

o procedimientos y documentación formales que especifican a los destinatarios

autorizados de los informes, los cheques u otros documentos críticos producidos.

Auditoría de Sistemas

• La auditoría en sistemas es el monitoreo, revisión y evaluación de todos los controles que la empresa posee o

debiera poseer para el procesamiento de su información en forma segura y consistente.

• Esto incluye el control de los equipos de cómputo y su utilización, así como el de las personas que los operan.

• La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo,

de un sistema o procedimiento específico, sino los sistemas de información en general desde sus

entradas, procedimientos, controles, archivos, seguridad y obtención de información.

• La auditoría es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de

una sección, un organismo, una entidad, etc.

EXTRACTOS DEL LIBRO



92

El control interno y el auditor de sistemas

▪ DIFERENCIAS

o Análisis de los controles en el día a día.

o Informa a la Dirección del Departamento de Informática.

o Sólo personal interno.

o El alcance de sus funciones es únicamente

o sobre el Departamento de Informática

o Análisis de un momento informático determinado.

o Informa a la Dirección General de la Organización.

o Personal interno y/o externo.

o Tiene cobertura sobre todos los componentes de los sistemas de información de la

Organización.

▪ SIMILITUDES

o Personal interno.

o Conocimientos especializados en Tecnología de la Información.

o Verificación del cumplimiento de controles internos, normativa y procedimientos

establecidos por la Dirección de Informática y la Dirección General para los sistemas de

información.

Auditoría Externa Vs. Auditoría Interna

• Se aclara, dado que para los profesionales de ciencias económicas puede llevar a confusión el

término de auditoría de sistemas.

• Auditoría Interna

o Se realiza con recursos materiales y personas pertenecientes a la empresa.

o Son empleados remunerados económicamente.

o Existe por decisión de la empresa.

• Auditoría Externa

o Es realizada por personas ajenas a la empresa auditada.

o Siempre es remunerada.

o Se presupone mayor distanciamiento entre auditores y auditados.

• La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la

empresa auditada.

• Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna

existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier

momento.

• Por otro lado, la auditoría externa es realizada por personas ajenas a la empresa auditada; y es

siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al

mayor distanciamiento entre auditores y auditados.

• La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto

de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales.

EXTRACTOS DEL LIBRO



93

• La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando revisiones

globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos

planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las

recomendaciones habidas benefician su trabajo.

• La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier

contenido o matiz “político” ajeno a la propia estrategia y política general de la empresa.

Auditoria de los Sistemas de Información

Dos enfoques de la auditoria de SI

• El enfoque tradicional de la auditoria.

o Limitado a los controles contables internos.

o No se enfocaba a las actividades claves.

o Sólo interesaba al personal financiero.

• En la actualidad.

o Los SI intervienen en todas las actividades.

o El auditor moderno evalúa riesgos y comprueba controles.

o Demuestra conocimientos informáticos.

EXTRACTOS DEL LIBRO



94

Focos de los Tipos de Auditoria

▪ Operativa

o Examinar la gestión de un ente, evaluando la eficiencia de los resultados

▪ Interna

o Medir y evaluar la confiabilidad y eficacia de las actividades de control de los sistemas

▪ Externa

o Emitir opinión sobre la razonabilidad de la información contable

o Independencia del Auditor

¿Qué es la Auditoria de Sistemas?

▪ La revisión y evaluación de todos (o algunos) de los aspectos de los sistemas de procesamiento

de la información, incluidos los procedimientos no automáticos relacionados con ellos y las

interfaces correspondientes

▪ Es realizada para verificar el funcionamiento y la distribución de los controles en los procesos de

información de una empresa, organización o cualquier sistema que utilice medios de información.

▪ Puede ser realizada por un equipo interno o externo, principalmente para encontrar fallas en el

sistema analizado que permitan optimizar, homogenizar, acercar, y proteger los procesos

informáticos, ya que el flujo de la información se facilita en cuanto se automatiza reduciendo el

error humano.

¿Qué se revisa y evalúa?

▪ Control de modificación en las aplicaciones

▪ Fraudes

▪ Cambios en los programas

▪ Revisión de:

o Comunicaciones

o Entrada de datos

o Bases de datos

o Métodos de procesamiento

o Salidas de Información (derechos y privilegios)

▪ Evaluación de la Seguridad Informática

▪ Evaluación de los planes de contingencia

▪ Back-ups, planes de recupero

▪ Opinión de la utilización de los recursos tecnológicos

▪ Resguardo y protección de activos

▪ Idealmente, ser consultados en el desarrollo de nuevos sistemas

▪ Evaluación de controles

EXTRACTOS DEL LIBRO



95

Etapas de una Auditoria

▪ Planificación

o Conocer el ente

o 1:N (Extractivas) / N:1 (Concentradoras) / T (Combinatorias)

o Regulaciones que lo afectan (AFIP, BCRA, SAFJP, SOX, corporativas)

o Evaluar riesgos

o Inherente / de Control / de Detección

o Determinar enfoque (áreas / ciclos)

o Determinar programas de trabajo

o Alcance, naturaleza y oportunidad

▪ Ejecución

o Aplicación de los procedimientos

o Pruebas de Controles

o Pruebas Sustantivas

o Papeles de Trabajo

o En general, obtener elementos de juicio respecto del objeto auditado

▪ Conclusión

o Seguimiento de puntos pendientes

o Elaborar informes y borradores de discusión

o Acordar recomendaciones (cuando las hubiere)

o Elaborar Informe final

Planificación de auditoría:

En la planificación de auditorías debe considerarse el cumplimiento o realización de los siguientes

aspectos (debe cubrir los siguientes aspectos)

• Comprender el negocio: a través de recorrer instalaciones, leer sobre esa industria o sus

informes financieros, entrevistas, revisión de informes de auditorías previas, revisión de los

planes estratégicos a largo plazo.

• Definir los riesgos de auditoría y materialidad (impacto total para la entidad NO basado en lo

monetario) significa definir el alcance del trabajo para acotar el riesgo

• El riesgo de exposición o riesgo de auditoría debe ser el criterio clave para seleccionar las

aplicaciones a auditar.

o Para determinar la prioridad de las aplicaciones a auditar considerar en el sig.

Orden: los activos controlados por el sistema, el impacto sobre la toma de

decisiones, la importancia de los archivos utilizados, el costo de procesamiento.

o Para establecer prioridades a las auditorias en un plan de auditoría considerar: las

observaciones de auditorías previas, el lapso desde la última auditoría y los cambios

a los procedimientos auditados

o 3. Riesgo del negocio: se refiere a identificar riesgos por ej. De naturaleza financiera,

normativa, de controles que pueden afectar la continuidad del negocio a largo plazo.

Si bien el auditor debe tener presente este riesgo mientras lleva a cabo la auditoria,

EXTRACTOS DEL LIBRO



96

debe interesarse principalmente en los riesgos de control y de auditoría.

o 4.Evaluacion de riesgos: el objeto de esto es identificar las áreas de alto riesgo que

deben ser evaluadas y así permitir la adecuada asignación de recursos para la

auditoria, para que la auditoria constituya un valor agregado orientando sus

actividades a las áreas de alto riesgo

o Para hacer la evaluación de riesgos:

▪ Matriz de riesgos

• Establecer factores de riesgo. Ej. Complejidad, riesgo de falla de las aplicaciones, procedimientos de control

• Por cada aplicación o trabajo sujeto a la evaluación de riesgo: asignar el factor de ponderación que le corresponde a los factores de riesgo definidos

• Asignar a cada factor de riesgo un valor por ej. En escala de 1 a 5

• Obtener el valor de riesgo asociado con cada aplicación o trabajo sujeto a la evaluación

• A partir de juicios de valor por ej. Perspectivas históricas, clima comercial, etc.

Para todas las aplicaciones, verificar el cumplimiento de los objetivos básicos de control

interno que son:

• Cumplimiento de políticas de la empresa, en un segundo término ver que estén documentados, distribuidos y aprobados

• Cumplimiento de exigencias legales

• Salvaguardia de los activos

• Proceso confiable

• Eficiencia de las operaciones

o A partir de los objetivos básicos de control interno definidos anteriormente que deben

existir para todas las aplicaciones, verificar que existan procedimientos que den

cumplimiento a los mismos, por ej.: accesos restringidos a la información, las

transacciones son autorizadas, no se ingresan transacciones duplicadas, se informan las

transacciones rechazadas y las duplicadas, se hacen back-up de los archivos, los

cambios a los programas son aprobados y probados.

o Comprensión de los objetivos generales de auditoría para la auditoria de sistemas de

información. Un ejemplo de objetivo general de auditoría puede ser Evaluar el control

interno en un área o Verificar que el inventario este expresado correctamente

o Definir los objetivos específicos de las auditorias de sistemas.

o objetivo de auditoría (meta): verificar que el sistema contable registra las

transacciones correctamente

o Objetivo de control (como): las transacciones son ingresadas exactamente

o Objetivo especifico de control de SI: existencia de validaciones en el ingreso

para detectar cuentas contables erróneas

o Evaluación de la existencia de procedimientos generales de control (políticas y

EXTRACTOS DEL LIBRO



97

procedimientos) establecidos por la gerencia para dar garantía que se alcanzaron

objetivos particulares. Deben existir los siguientes procedimientos de control:

• Políticas y procedimientos de seguridad lógica para asegurar la autorización de actividades y transacciones

• Rastro de auditoría de transacciones, es decir, políticas respecto al uso y registro de documentos para asegurar la registración correcta de Transacciones

• Procedimientos para asegurar el acceso restringido a las instalaciones, a los activos y a su uso

• Políticas de seguridad física para todos los centros de cómputos

o Analizar el conjunto de procedimientos de control específicos de SI que deben existir

para dar cumplimiento a los procedimientos generales de control mencionados

anteriormente. Por ej. El acceso restringido a los activos (procedimiento general de

control) puede ser traducido como acceso restringido a programas, datos y equipos

(procedimientos específicos de control). Considerar la evaluación de los siguientes

procedimientos de control de SI:

• De organización general. En el caso que el auditor efectúe un análisis de los costos de capacitación e instalación de hardware y software, el principal interés es identificar los ítems del nuevo soft y hard en los cuales el personal debería ser capacitado. Los costos de instalación, capacitación e impuestos son parte de la capitalización del nuevo soft y hard

• Metodologías de desarrollo

• Acceso a la información y programas

• De operaciones. En el caso de planificar una revisión de las operaciones del centro de cómputos el auditor 1ero. Deberá recopilar información sobre los procedimientos de asignación de recursos del computador (schedulling) lo cual ayudara luego a desarrollar un plan y presupuesto de auditoria

• De control de calidad

• De soporte técnico

o Ejecución de los procedimientos generales de auditorías. Son:

• Evaluación anual de riesgos y planificación general de auditoria

• Planificación de auditorías individuales

• Obtención o comprensión del área o tema a auditar

• Evaluación del área o tema a auditar

• Realización de pruebas de cumplimiento

• Realización de pruebas sustantivas

• Generación del informe

• Seguimiento

o Ejecución de los procedimientos propios de auditoría de SI. Si bien son los mismos

EXTRACTOS DEL LIBRO



98

enunciados anteriormente, se aplican técnicas propias de la materia como evaluación de

la documentación técnica y entrevistas con personal técnico para comprender el tema a

auditar, utilizar software de auditoría para hacer pruebas sustantivas y utilizar técnicas de

diagramación para documentar. Estos procedimientos deben ser considerados para poder

planificar las pruebas de auditoría por ej.

o Evaluar periódicamente los criterios utilizados para planificar a corto plazo y anualmente

con el objeto de considerar las tecnologías cambiantes, mejoras en las técnicas de

evaluación, etc.

o Las planificaciones deben ser aprobadas por el comité de auditoría y comunicada a los

niveles gerenciales involucrados

o Considerar en la planificación la existencia de exigencias como normativas u otros temas

que deben ser considerados al momento de planificar el trabajo. Por ej. Implantaciones de

sistemas o fechas límites de proyectos, tecnologías actuales y futuras, limitaciones de

recursos de SI

o Al efectuar la planificación considerar las áreas vulnerables a delitos informático, y la

naturaleza de los mismos en el caso que hayan ocurrido

o Considerar en la planificación los objetivos de la Gerencia. Para con la auditoria. Estos se

esbozan en las cartas de auditoría. Estas son:

• Carta fundamental: delinea la autoridad, responsabilidad y alcance de la función de auditoría. Debe estar aprobada por el nivel gerencial más alto

• Carta fundamental del proyecto: identifica los objetivos de las auditorias individuales, cronogramas, costos, áreas involucradas e informes

La gerencia de auditoría decidirá auditar alrededor del computador generalmente cuando no disponga de recursos técnicos para auditar el sistema que genera la información que se audita., ya que las auditorias a través del computador comprenden el ciclo completo de procesamiento el input, el proceso y el output incluyendo los procedimientos manuales asociados al input y la verificación del output

La Gerencia de auditoría asignara al personal más especializado cuando se requiera una revisión de la administración de los recursos de SI y se utilicen herramientas para el monitoreo del rendimiento del hardware y software

Desarrollar el programa de auditoría (procedimientos de auditoría para alcanzar los objetivos

planificados).

Componentes que debe incluir el programa de auditoria

• El tema y área a ser auditada

• El objetivo de auditoría (meta definida durante la planificación)

• El alcance (sistema yo áreas yo temas que se van a revisar)

• La planificación previa donde se definen los recursos, fuentes de información para realizar el trabajo (por ej. papeles de auditorías anteriores, políticas, normas y procedimientos, etc.), el lugar físico a auditar, la actualización de los programas de auditoría existentes

• Recopilación de los datos

EXTRACTOS DEL LIBRO



99

• Identificación de las personas a ser entrevistadas

• Identificación de políticas y normas del departamento

• procedimientos para probar y verificar los controles

• procedimientos para evaluar los resultados de las pruebas

• procedimientos de comunicación con la gerencia

• Generación del informe o Procedimientos de seguimiento: incluye la evaluación y prueba de las operaciones,

controles razonabilidad de las políticas y procedimientos

Debe incluir la realización de pruebas de cumplimiento y sustantivas

• La evaluación de controles es para determinar la confianza de los controles ya sean

automáticos o manuales.

• El auditor debe preparar en forma rutinaria programas formales de auditoría de

procedimientos de prueba ya que esto permite estructurar la planificación, guiar a los

ayudantes en los procedimientos planificados y proveer documentación de la revisión

• Pruebas de cumplimiento: es para probar que los controles funcionan como lo describe la persona o la documentación y que funcionan de tal manera que cumplen con las políticas de la gerencia. Permiten evaluar la efectividad de las políticas o procedimientos de control para prevenir o detectar errores en los sistemas y operaciones.

• Se realizan con el objeto de comprender la estructura de control, los resultados

obtenidos son utilizados para determinar la naturaleza, tiempos y extensión de las

pruebas sustantivas.

• Son ejemplos de pruebas de conformidad: la observación de prácticas de seguridad,

la inspección de documentos por ej. Ver las solicitudes de usuarios para determinar

si las modificaciones a programas están aprobadas, etc.

• No son pruebas de cumplimiento el examen de los manuales de sistemas para

determinar que los procedimientos existentes son satisfactorios, el examen de

flujogramas de sistemas para poder entender una aplicación, el examen del

organigrama para ver que la segregación de funciones es adecuada

• Las técnicas para efectuar pruebas de control son: observación, inspección, re

ejecución de una política o procedimiento, preguntas

• Prueba sustantiva: se efectúan para sustentar la adecuación de los controles. Es para determinar la exactitud de algo en función a la cantidad, valor. Determinan la validez de las transacciones. Por ej. La confirmación de los balances de cuentas de un cliente, de los inventarios de cintas, de inventarios de equipos, análisis de estadísticas de utilización de recursos del computador, análisis de informes de excepción por violaciones a la seguridad

• Las técnicas para efectuar pruebas sustantivas son: análisis como comparaciones, cálculo, razonamiento, re ejecuciones por ej. A través del desarrollo de un programa

• La forma más eficiente para revisar la integridad de los datos es:

EXTRACTOS DEL LIBRO



100

o Revisar el sistema a fin de entender el flujo de información o Identificar los datos y fuentes de datos a probar o Establecer las pruebas o Diseñar las pruebas

• Debe incluir la identificación de la existencia de los controles claves (preventivos,

detectives y correctivos) y la prueba de los controles básicos y disciplinarios incluidos en

dichos controles claves

• Debe incluir la existencia y documentación de evidencia de auditoría competente y

suficiente para respaldar los hallazgos de la auditoria.

El grado de confiabilidad de la evidencia lo da:

• Si quien entrega la información es independiente al área auditada o es externo a la empresa

• La idoneidad en el tema (calificación) de la persona que entrega la evidencia y si el auditor realmente comprende lo que está evaluando

• es objetiva es decir que no exige juicios

Asignación de los recursos de auditoria

• Comprensión del perfil de los recursos humanos disponibles para realizar las auditorias

correctamente. Los auditores pueden tener antecedentes como analistas,

programadores, auditores contables, con pocas experiencia hasta CISA's.

• Considerar las posibles restricciones que pueden limitar la disponibilidad del personal

por ej. Vacaciones, asistencia a curso, soporte a la auditoría contable, falta de

conocimiento, etc. Estas restricciones pueden evitarse con una planificación adecuada

• A fin de realizar planificaciones adecuadas el auditor debe estar familiarizado con las

técnicas de administración de proyectos que incluyen:

• hacer un plan detallado con las estimaciones para cada tarea de auditoría (ver punto G1.11) considerando la disponibilidad del personal. Equilibrar la asignación de tareas en función de los recursos-destrezas disponibles

• establecer algún sistema que permita regularmente ir comparando el avance de los proyectos con lo planificado

• Hacer correcciones al plan por ej. Cambios en las asignaciones o a la planificación en el caso que se detecte que es necesario

• Capacitación constante de los auditores tanto en nuevas técnicas de auditoría como nuevas tecnologías

Técnicas de recopilación de evidencia

• Revisión de la estructura de la organización (organigrama): permite ver si hay

segregación de funciones.

• Revisión de las normas para documentar sistemas aunque se realice en forma

automática y no sobre papel por ej. Con herramientas CASE. Las normas deben requerir

EXTRACTOS DEL LIBRO



101

mínimamente la documentación de los siguientes aspectos:

o Documentación que indica la aprobación del inicio del sistema o Especificaciones funcionales sobre el diseño global o Documentación sobre los cambios a programas realizados o Manuales de usuario

• Revisión de la documentación de sistemas

• Entrevistas al personal: se pueden utilizar formularios de entrevista con el cuestionario o

listas de control. Las entrevistas deben documentarse con notas

• Observación de los empleados realizando las operaciones. Este método da mayor

seguridad en cuanto a verificar la eficiencia y eficacia del trabajo

• El auditor debe documentar su comprensión del ambiente de SI, de un sistema, etc.

utilizando flujogramas o narrativas, etc.

• Luego de haber comprendido y documentado el sistema, etc., el auditor debe identificar

los controles claves y efectuar pruebas de cumplimiento de los mismos para ver si

funcionan. Los resultados derivaran en pruebas de cumplimiento más extensas o

sustantivas.

• Selección de la muestra para efectuar pruebas. Se realiza muestreo cuando no se puede

probar el 100%.

• Utilización de técnicas asistidas por computador (CAAT) para obtener evidencia de

diferentes tipos como ser funcionamiento de programas, parametrización de un software,

etc. (ver punto I)

• Pueden ir desde preguntas, observaciones, confirmación y re-ejecución (por ej. un

recálcalo)

• Cabe aclarar que los diagramas de sistemas, manuales de procedimientos y políticas

son herramientas útiles para lograr una comprensión de la estructura de control interno.

• Por otro lado los diseños de registro y archivos, los listados de programas fuentes son

útiles en la etapa de testeo detallado de la estructura de control interno.

Evaluación de fortalezas y debilidades

Existen técnicas para analizar la evidencia pero la técnica a utilizar depende de la evidencia que se examine. El auditor puede analizar debilidades basándose en:

• Tendencias estadísticas en términos de tasas globales

• Comparaciones con otros periodos

• Análisis de regresión: permite analizar una variedad de datos y determinar si constituyen

una tendencia

Como parte del proceso de evaluar las fortalezas y debilidades, deben cumplimentarse los siguientes aspectos:

• Evaluar los controles existentes para verificar que se cumplen los objetivos de control

definidos en la planificación. Se puede armar una matriz donde en cada columna se colocan

los errores conocidos que pueden presentarse en el área y en cada fila los controles que

pueden prevenir, detectar o corregir dichos errores. Se completa la matriz y quedan en

EXTRACTOS DEL LIBRO



102

evidencia las áreas en que los controles son débiles o inexistentes

• Determinar que material es apropiado para evaluar el cumplimiento de los objetivos de control

• Considerar la existencia de controles compensatorios es decir controles que compensan las

debilidades de control detectadas en un área.

• Un control compensatorio es un control fuerte que respalda o balancea a uno débil. El

propósito también es balancear controles manuales con automatizados

• Un control compensatorio puede ser un log de computación que registra las acciones o

inacciones de una persona durante su acceso al sistema o archivos, si sucede algo anormal el

log puede utilizarse para rastrearla.

• Los controles redundantes son 2 controles fuertes tanto 1 como el otro es adecuado pero

ambos se complementan

• Evaluar la interrelación de los controles, debido a que para lograr un objetivo de control

normalmente no basta con que solo un control se adecuado.

• Evaluar las fortalezas y debilidades de los controles y determinar si las operaciones son

eficientes, eficaces y están bien controladas es decir que satisfacen los objetivos de control.

• Determinar que observaciones son materiales para los distintos niveles gerenciales e

informarlos. Regla: es mejor informar demasiados ítems que muy pocos.

Generar el informe de auditoría.

• Estructura que debe tener el informe: objetivo, alcance, periodo cubierto, tareas realizadas,

conclusión global sobre la adecuación de los procedimientos revisados y sus controles,

detallar las observaciones, sus recomendaciones, tiempos estimados de implementación que

sustentan la conclusión global e incluir las respuestas de la gerencia a las observaciones

realizadas con el plan de implementación que propongan (acciones correctivas a tomar y

cuando se implementaran)

• Criterios de inclusión de las observaciones en distintos niveles de informe de auditoría:

depende de las directivas de la gerencia sin embargo la decisión final de que incluir u omitir es

del auditor quien debe ejercer su independencia

• Al efectuar el seguimiento de implantación de las recomendaciones considerar la importancia

de las debilidades en la estructura de control interno

• Comunicar el informe a la gerencia superior y al comité de auditoría. Comunicar los temas sin

restricciones. Puede haber ocasiones en que las observaciones deban ser comunicadas de

inmediato por ej. Si el auditor tiene la certeza que se han realizado actos ilegales, errores o

irregularidades

• Existen técnicas de exposición: que sea de fácil lectura, breve y comprensible. Además

pueden utilizarse transparencias, diapositivas, etc.

En el caso de auditorías externas pueden 4 tipos de informes:

• Sin salvedades: implican que no hay problemas materiales, los estados contables

cumplen con los principios de contabilidad

• Con salvedades: no hay problemas materiales, los estados contables cumplen con los

principios de contabilidad, pero hay situaciones que si bien no afectan materialmente

EXTRACTOS DEL LIBRO



103

deben ser informadas

• Opinión adversa: los estados contables no cumplen con los principios de contabilidad.

Estos informes son los mínimos.

• Renuncia de opinión: cuando la situación financiera es precaria y puede llevar a la

disolución de la empresa o cuando el alcance de la auditoria es tan limitado que no

puede generarse un informe. Este tipo de informes también puede ser generado por la

auditoría interna

Seguimiento para verificar que la gerencia ha implementado las recomendaciones

Los auditores deben tener un programa de seguimiento y los resultados del seguimiento deben ser informados a los niveles gerenciales correspondientes.

Código de ética profesional

Los miembros de la EDPAA y los CISA deben:

• Apoyar que se establezcan y cumplan normas, procedimientos y controles para los

sistemas

• Cumplir con las normas de auditoría de sistemas

• Actuar en interés de sus empleadores

• Mantener la confiabilidad de la información

• Cumplir con su tarea en forma independiente es decir evitar toda situación que

comprometa o parezca comprometer su objetividad e independencia.

• Mantenerse capacitado a través de cursos

• Documentar el material sobre el cual basa sus conclusiones

• Informar a los involucrados el resultado de la auditoria

• Apoyar a todos en general en comprender lo que es la auditoria y sistemas

• Mantener conducta y carácter en sus actividades personales y profesionales

Normas profesionales sobre auditoria de sistema de la EDPAF (estándares generales para auditoria de sistemas).

Tratan la independencia, capacidad técnica, realización del trabajo e generación de informes.

• Actitud y apariencia: significa ser independiente del auditado en actitud y apariencia

(independencia)

• Relación en la organización: auditoria debe ser independiente del área que se audita

(independencia)

• Auditoria debe ser además independiente en la participación del proceso de desarrollo de

sistemas, no puede tomar decisiones dentro del equipo del proyecto. El auditor debe ayudar a

disminuir el riesgo en el desarrollo de un sistema es decir factores que tengan implicancias

financieras como el costo, el valor del sistema para la organización y los beneficios que

provea el sistema

• La independencia debe ser valorada continuamente por el auditor y el gerente de auditoría, es

decir que deben considerarse aspectos como responsabilidades y asignación de trabajos

EXTRACTOS DEL LIBRO



104

anteriores, cambios en la relación personal, intereses financieros.

• El gerente de auditoría de sistemas debería establecer políticas y procedimientos para motivar

al staff por ej. Calificación del personal en cuanto a carácter, inteligencia, criterio, motivación

• Cumplir con el Código de ética profesional

• Destrezas y conocimiento: el auditor debe ser técnicamente competente para hacer la

auditoria

• Educación profesional permanente. Inicialmente es mejor dedicar tiempo a la capacitación de

los auditores en la manera de realizar el trabajo ya que con el tiempo la calidad del trabajo de

auditoría mejora

• Planificación y supervisión: las auditorias deben ser planificadas y supervisadas para asegurar

que se alcanzan los objetivos de auditoría. Realizar la evaluación de riesgos (realización de

tareas)

• Exigencia de evidencia: obtener evidencia y documentar para respaldar los hallazgos. Los

tipos de evidencia que el auditor puede utilizar son física, documental, representaciones y

análisis, por ej. los resultado de la extracción de información, registros de transacciones,

listados de programas, logs, cálculos, razonamiento, comparaciones, las proyecciones que

son parte de los cálculos, facturas (realización de tareas)

• Cuidado profesional en todas las tareas realizadas incluyendo el cumplimiento de estas

normas. Por ej. El auditor no debería aceptar las declaraciones del analista desde su punto de

vista sino que debe verificar personalmente los controles ya sea analizando la documentación,

testeando su existencia o ambos esto se debe a que el auditor debe ser consciente de la

posibilidad de que otras personas hayan cometido errores, irregularidades o actos ilegales

(realización de tareas).

• Los errores son involuntarios, equivocaciones, mala aplicación de una política, mientras que

las irregularidades es una falsificación, alteración de registros, aprobación indebida de

transacciones, tomar ventaja de una posición laboral, etc.

• Los gerentes se encuentran en mejor posición para ocultar transacciones de manera que

puedan producir una irregularidad material como fraude, la gerencia pudo obviar los

procedimientos de control. Los operadores, bibliotecarios tienen el potencial para realizar

irregularidades materiales.

• Generar un informe de auditoría que indique la extensión de la tarea es decir objetivo, periodo

analizado y tareas realizadas (generación de informes)

• Generar un informe de los hallazgos y conclusiones: es decir de las observaciones y la

conclusión general.

TECNICAS CAAT (procesos especializados de auditoría asistida por computador)

• Se pueden usar para evaluar controles de tecnología informática, de aplicaciones, para hacer

pruebas sustantivas y para la administración de la auditoria

• Ejemplos de técnicas CAAT existentes y su uso (tipos de técnicas de auditoría asistidas por computador)

o Generadores de datos de prueba: este software genera transacciones y datos de acuerdo con criterios específicos por ej. Rango de valores, etc., con ellos se verificar

EXTRACTOS DEL LIBRO



105

la lógica de programas, es decir se compara la salida obtenida con los resultados esperados

o Sistemas expertos: aplicaciones desarrolladas para contener los procesos de toma de decisiones de expertos en un determinado campo.

o Utilitarios: por ej. Para ver los parámetros seteados para un software determinado (evaluar los controles en la operación del computador, controles en el sistema operativos por ej. PARMLIB), generadores de reportes sobre la estructura de la base de datos, red de teleprocesamiento, para ver como está configurado el sistema de seguridad (evaluar los controles de acceso), para analizar el log del sistema.

o Son provistos por proveedores tanto de hardware como software y permiten manipular información por ej. Para seleccionar e informar datos

o Paquetes de bibliotecas: para verificar la integridad de bibliotecas ante cambios a programas por ej. Para comparar programas fuentes, objetos (evaluar los controles en la implementación y mantenimiento)

o Instalación de pruebas integradas (ITF): para procesar datos de prueba en un sistema de aplicación en producción Permite probar una aplicación en forma continua.

o Por lo general representan un conjunto de entidades ficticias como departamentos, clientes y productos. Los informes obtenidos se verifican para confirmar que el procesamiento es correcto.

o Este mecanismo presenta ciertos riesgos por lo cual es necesario asegurarse que no se alteran los datos y los totales reales de producción, es decir que no quedan efectos residuales como resultado de las pruebas realizadas.

o Rutinas de auditoría Instantáneas: se integran en distintos puntos del sistema para capturar la imagen de la transacción cuando pasa por dicho punto. Permiten tomar la fotografía de una transacción a medida que recorre el sistema y evaluar los procesos que se aplican a los datos en distintas etapas del procesamiento.

o Ídem anterior pero la información recopilada se guarda en un archivo especial que será revisado por los auditores

o Software de auditoría: puede ser especializado (desarrollado por el auditor especialmente para un determinado negocio o aplicación) o generalizado (para usar sobre cualquier aplicación por ej. ACL, AUDITPACK).

o Son módulos pre-escritos que permiten recuperar información (query), muestreo de registros, sumarizar, etc.

o Tanto el software de auditoría especializado como el generalizado normalmente se utilizan para verificar la integridad de los datos de un archivo. En el caso del especializado también puede utilizarse para hace una simulación paralela es decir que el auditor desarrolla rutinas que simulan total o parcialmente partes del sistema y luego se investigan las diferencias entre los resultados reales y los de la simulación. La simulación en paralelo permite al auditor verificar controles y procedimientos críticos y complejos de programas por ej. Cálculos de intereses y depreciación de cuentas.

o El software de auditoría corre en forma independiente a los programas en producción y son adecuados para el muestreo de transacciones y su monitoreo discontinuo en sistemas complejos

o La técnica de datos de prueba es para probar situaciones preconcebidas. o El software de auditoría genérico se puede utilizar para:

▪ probar la exactitud de los cálculos, puede ser realizada sobre una muestra o sobre el archivo completo

EXTRACTOS DEL LIBRO



106

▪ Comparar datos de diferentes archivos para asegurar su sincronización ▪ Para determinar la antigüedad de los datos (secuenciamiento) u obtener

resumen de datos (realizar totalizaciones de archivo) ▪ Para identificar condiciones de excepción que no son probables que ocurran

y generar con ellas un informes de excepción para su posterior examen o Software para la administración de la auditoria: por ej. El MSPROJECT que permite

mejorar la administración y seguimiento de los proyectos, el FLOWCHART para documentación y como ayuda a comprender un flujo de operaciones

o Software como VAMVIEW y CONSUL RACF para evaluar los controles en la seguridad de archivos, programas

o Software para el tracing y debugging de programas o transferencia de información hacia y desde un mainframe (uploading y downloading)

para realizar un análisis más detallado de transacciones seleccionadas. o En las PC´s se puede desarrollar software para analizar dichas transacciones cuando

el volumen de las mismas es suficientemente pequeño, pero hay que asegurarse de la integridad de dichos datos en la PC para que los resultados sean confiables.

o CASE: son paquetes de software que ayudan en el desarrollo de todas las fases de un sistema es decir análisis, diseño, programación y documentación.

Ventajas:

• Disminuyen el riesgo de auditoría porque permite una cobertura más amplia (tomar como muestra todo el universo) mejorando la oportunidad de identificar excepciones, debilidades de control interno

• Independencia del auditado

• Ahorro de tiempo en el transcurso del tiempo por pueden ser reutilizadas en las futuras auditorias

Antes de desarrollar o adquirir CAAT considerar:

• La facilidad de utilización

• La capacitación de quienes deberán usarla

• La complejidad de codificación y mantenimiento

• Requisitos de instalación (PCs, etc.)

• esfuerzo para llevar la información fuente al CAAT

Conservar la siguiente documentación de las CAAT (supervisión de auditoría):

• flujogramas de programas

• Listado del programa

• Diseño de archivos y registros con descripción del contenido y campos

• Requisitos de input y ejemplos

• Instrucciones para operar el programa

• Referencia cruzada al programa de auditoría y al procedimiento de auditoría que cumple

• Deben utilizarse copias de los archivos de producción en un ambiente que asegure que no van a ser manipulados

Similitudes entre la Auditoria de Sistemas y la tradicional

▪ No se requieren nuevas normas de auditoría.

▪ Los elementos básicos de un buen sistema de control interno siguen siendo los mismos

EXTRACTOS DEL LIBRO



107

▪ adecuada segregación de funciones.

▪ El estudio y la evaluación del control interno se efectúan para:

o respaldar una opinión

o determinar la base, oportunidad y extensión de las pruebas de auditoría.

Diferencias entre la Auditoria de Sistemas y la tradicional

▪ Se establecen algunos nuevos procedimientos de auditoría.

▪ Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable.

▪ Una diferencia significativa es que en algunos procesos se usan programas.

▪ Sistemas manuales = evaluación transacciones

▪ Sistemas informáticos = evaluación control interno

Tipos de auditoría

▪ Pueden ser de distinta índole:

o Auditoría de seguridad interna. Se contrasta el nivel de seguridad y privacidad de las

redes locales y corporativas de carácter interno

o Auditoría de seguridad perimetral. El perímetro de la red local o corporativa es estudiado

y se analiza el grado de seguridad que ofrece en las entradas exteriores

o Test de intrusión. Método mediante el cual se intenta acceder a los sistemas para

comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento

fundamental para la auditoría perimetral.

o Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis

posterior de incidentes, mediante la que se trata de reconstruir cómo se ha penetrado en

el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la

falta de operatividad del sistema se denomina análisis post-mortem.

o Auditoría de páginas Web. Entendida como el análisis externo de la Web, comprobando

vulnerabilidades como la inyección de código SQL, Verificación de existencia y anulación

de posibilidades de Cross Site Scripting (XSS), etc.

o Auditoría de código de aplicaciones. Análisis del código tanto de aplicaciones, páginas

Web, así como de cualquier tipo de aplicación, independientemente del lenguaje

empleado y revisar las fortalezas y debilidades de control y de operaciones de un

aplicativo

o De controles generales: revisar la estructura, políticas, procedimientos operativos y

ambiente de control

o Del Centro de cómputos: revisar las operaciones del centro de cómputos

o De la Seguridad: revisar el acceso lógico, físico y controles del ambiente

o De recuperación de desastres: revisar políticas y procedimientos para la planificación de

contingencias

o Del sistema operativo: revisar políticas y procedimientos para desarrollar, adquirir y

mantener sistemas operativos

o Del ciclo de vida del desarrollo de sistema (SDLC): revisar la metodología y

procedimientos para el desarrollo, adquisición y mantenimiento de sistemas

EXTRACTOS DEL LIBRO



108

¿Cómo se audita un sistema?

▪ Pruebas

o De cumplimiento de Controles

▪ Determinar si el sistema se comporta como se espera que lo haga

▪ Gestión del ente

▪ Sustantivas

▪ Obtener evidencias que permitan opinar sobre:

• Integridad

• razonabilidad y

• validez

• de lo producido por el sistema de Información

El riesgo de auditoria

• Riesgo inherente:

o un error puede ser material si se combina con otros errores encontrados en la auditoria y

no existen controles compensatorios.

o Es el riesgo propio del negocio, riesgo de que haya un error sin considerar la efectividad

del control interno. Riesgo de ocurrencia de un error

• Riesgo de control:

o el sistema de control interno no puede detectar o evitar un error material en forma

oportuna. Riesgo de ocurrencia de un error

• Riesgo de detección:

o el auditor concluye que no existen errores materiales y hay. Riesgo de no detectar un

error

Sistema De Control Interno

La estructura del control interno consiste en políticas y procedimientos para dar garantía que los objetivos serán alcanzados. Es para prevenir o detectar errores o fraudes en los estados contables (exactitud y confiabilidad de la información), para salvaguardar los activos de la empresa, para asegurar el cumplimiento de leyes y proporcionar una base para medir hasta qué punto las operaciones y objetivos de la gerencia se están logrando

Componentes:

• Controles contables: orientados a contabilizar las operaciones. Se refieren a la salvaguardia de los

activos y confiabilidad de los registros contables. Por lo tanto la auditoría contable tiene como

objetivo evaluar la exactitud de los estados contables

• Controles operativos: orientados a garantizar que las operaciones y funciones diarias satisfacen

los objetivos del negocio. Por lo tanto la auditoria operativa tiene como propósito evaluar la

estructura de control interno, muchas de las auditorias de sistemas son de carácter operativo

EXTRACTOS DEL LIBRO



109

• Controles administrativos: orientados a que se dé cumplimiento a las políticas del negocio y a los

controles operativos para garantizar la eficiencia operativa en un área.

C2.Los tipos de control interno son: controles disciplinarios y controles básicos

• Controles básicos: por ej. Controles de autorización, totalidad, exactitud, procedimientos de

backup y recuperación, conciliación de totales de control, controles de acceso y seguridad,

procedimientos programados, controles en el mantenimiento de programas, en la implementación,

en las operaciones

• Controles disciplinarios: por ej. Segregación de tareas, supervisión, custodia. Aseguran el

cumplimiento de los controles básicos

Pruebas de Cumplimiento de Controles

▪ WALKTHROUGH ▪ Seguir a través del sistema ▪ Se ve el detalle en cada paso ▪ CAJA BLANCA

▪ POR FUERA DEL SISTEMA ▪ SE VEN CHECK-POINTS ▪ CAJA NEGRA ▪ Solo se conocen cosas específicas ▪ Entradas ▪ Salidas ▪ Algunos procesos (resultado de ellos)

CLASIFICACION DE CONTROLES CLAVES

Controles Preventivos:

EXTRACTOS DEL LIBRO



110

• Evitan o reducen que se produzcan errores, omisiones, actos maliciosos. Guían para que las

cosas se hagan como se deben. Generalmente son pasivos es decir que no toman una acción

física.

• Ejemplos:

o Definición de responsabilidades

o Confiabilidad en el personal

o Entrenamiento

o Capacitación o percepción de la seguridad

o Personal competente

o Separación de tareas

o Rotación de tareas

o Estandarización

o Autorización

o Redundancia

o Diseño de formularios

o Utilización de UserId o tarjetas

o Uso de password

o Cambio periódico de contraseña

o Terminales que se desactivan luego de 3 intentos no autorizados

o Formularios pre numerados

o Mascaras de entrada

o Cancelación de documentos

o Archivo de documentos fuentes

o Políticas, Estándares y Procedimientos documentados

o Software de control de acceso

o Terminales que se desactivan luego de 3 intentos no autorizados

o Utilización de tarjetas de identificación de empleados

Controles detectivos:

Detectan que se han producido errores, omisiones, actos maliciosos e informan su aparición. Monitorean el proceso, registran los problemas y sus causas, determinan si el control preventivo

funciona. Actúan a posteriori que se produce la transacción.

• Ejemplos:

o Registro histórico (log) de violaciones de acceso (grabación y examen del log). Es un

control detectivo pero no es un control de aplicación detectivo.

o Las pistas de auditoría si bien son controles detectives no es el propósito primario de

los controles detectivo

o Remito de movimientos

o Numeración de lotes

o Totales de control

o Cuenta de transacciones

EXTRACTOS DEL LIBRO



111

o Control de secuencia

o Digito verificador

o Registro de fecha y hora

o Control de validez

o Listado de control

o Reconciliación

o Archivo de pendiente

o Totales de pendientes

o Controles cruzados

o Rotulación de cintas y discos

o Verificación de autorizaciones

o Capacitación o percepción de la seguridad (también puede ser detectivo porque

permite identificar posibles violaciones)

Controles correctivos:

Corrigen errores, omisiones o actos maliciosos que se hayan detectado por ej. Ante el ingreso de una fecha errónea el sistema la corrige colocando la fecha del sistema. Reprocesan luego que fue corregido a través de los mismos o aun más severos controles, registran las acciones tomadas y

cuestan más que los otros

• Listado de discrepancias

• Pistas de auditoría (se tienen en cuenta una vez que ha ocurrido el problema)

• Estadística de origen de errores

• Corrección automática de errores

• Respaldo operativo

• Recuperación

• El plan de recuperación de desastres documentado

El mejor control es el que evita problemas (controles preventivos), luego le siguen los que identifican un problema ya que permiten tomar medidas de investigación y corrección (controles detectives) y por último los controles para corregir un problema (controles correctivos o de recuperabilidad)

Pruebas Sustantivas

▪ Obtener evidencia Física, Documental y Verbal de los elementos auditados

▪ Criterios de comparación, confirmación y razonabilidad

▪ Utilizando programas que ayuden a la tarea cuando sea posible, tales como Software Específico:

ACL, Cognos, Clementine

▪ Pistas de Auditoria (si fuesen inalterables) de las BD de los sistemas en uso

▪ Las pruebas de cumplimiento y sustantivas son complementarias entre sí

▪ A menor confianza por parte del auditor en el control interno, mayor será cantidad y calidad de

pruebas sustantivas que deberá desarrollar

▪ A mayor riesgo en el ente auditado, mayor alcance y naturaleza de las pruebas sustantivas a

realizar

EXTRACTOS DEL LIBRO



112

Esquema de auditoria

• En síntesis, un modelo sencillo de auditoría consiste en dos partes:

o Recolector de datos de auditoria

o Analizador de esos datos

▪ Una posible aproximación a un esquema básico de auditoría utilizando

herramientas.

▪ Fundamentalmente, utilizado en Sistemas de detección de intrusos:

El proceso de la auditoria de sistemas de información

▪ Definición del alcance y objetivo.

▪ Se fija qué se va a auditar, en qué entorno y ante quién se va a responder.

▪ Planificación de la auditoria.

▪ Definición del método y constitución del equipo de trabajo.

▪ Recolección de la evidencia, construyendo una base sobre la que practicar las pruebas

necesarias.

▪ Debe ser suficiente, fiable, relevante y útil para alcanzar los objetivos fijados.

▪ Evaluación de la evidencia, mediante pruebas específicamente diseñadas para ello, ya sean

substantivas o de cumplimiento.

▪ Formulación de un juicio profesional sobre cómo la información evaluada concuerda con la

realidad, tal y como el auditor percibe la realidad en ese momento.

▪ Comunicar los resultados. Hallazgos y recomendaciones. Informe de auditoría.

▪ Facilitar la implantación de los controles

▪ Los servicios de auditoría constan de:

o Enumeración de redes, topologías y protocolos.

o Identificación de sistemas y dispositivos.

o Identificación de los sistemas operativos instalados.

o Análisis de servicios y aplicaciones.

EXTRACTOS DEL LIBRO



113

o Detección, comprobación y evaluación de vulnerabilidades.

o Medidas específicas de corrección.

o Recomendaciones sobre implantación de medidas preventivas.

Pistas y Registros de Auditoria

▪ Son una serie de registros de computador sobre las actividades del sistema operativo, de procesos

o aplicaciones y/o de usuarios del sistema. [NIST96].

▪ Se generan por un subsistema que monitoriza las actividades del sistema, pudiendo ser utilizadas

en una gran variedad de funciones, sobre todo dentro del ámbito de la seguridad informática,

donde combinadas con herramientas y procedimientos adecuados, las pistas de auditoría pueden

proporcionar un medio de ayudar a cumplir algunos objetivos, como por ejemplo:

o Responsabilidad individual. Seguimiento de la traza de las acciones del usuario.

o Reconstrucción de eventos. Investigaciones de cómo, cuándo y quién ha realizado las

operaciones una vez finalizadas.

o Detección de intrusiones. Bien en tiempo real mediante un examen automático o

mediante procesos Batch

o Identificación de problemas.

o Además del punto anterior mediante su examen pueden detectarse otra serie de

problemas en el sistema.

▪ En cuanto al contenido, la misma publicación señala que una Pista de Auditoria debe incluir

suficiente información para establecer qué eventos han ocurrido y quién o qué los ha

desencadenado.

▪ La definición del alcance y contenidos de las pistas de auditoría debe ser hecho con cuidado,

balanceando las necesidades de seguridad con posibles niveles de prestaciones, privacidad u

otros costos.

▪ En general, un registro deberá especificar:

o Tipo de Evento.

o El tipo de evento y su resultado, como por ejemplo: Intentos fallidos de autenticación de

usuario, cambios de perfiles de seguridad de usuarios o de aplicaciones, eventos

relevantes de seguridad

o Cuándo ha ocurrido el evento. Fecha y hora en la que se produjo el evento.

o Identificador de Usuario asociado con el evento.

o Programa o Comando usado para iniciar el evento.

▪ Registros nativos: Los sistemas operativos multiusuario incluyen software que recoge información

sobre la actividad de los usuarios (accounting).

▪ La ventaja de utilizar esta información es que no se necesita un software adicional de recopilación

de datos.

▪ La desventaja es que estos informes pueden no contener la información necesaria ó no contenerla

de una manera conveniente.

▪ Registros específicos para la detección: Se puede implementar una herramienta que contenga

sólo la información requerida por el IDS.

▪ Las ventajas están en independencia del vendedor y portabilidad a diversos sistemas.

EXTRACTOS DEL LIBRO



114

▪ La desventaja es el costo de procesamiento adicional involucrado.

Pistas de Auditoría en entornos de red

▪ Security Criteria for Distributed Systems:

▪ Creado por el Institute for Defense Analysis en 1995 para sistemas distribuidos, definía varios tipos

de eventos que necesitaban ser auditados y los agrupaba en seis categorías:

o Política de administración y control de accesos

o Política de Integridad y Confidencialidad de datos

o Política no discrecional (Non-discretionary Policy Events)

o Política de Disponibilidad

o Política Criptográfica

o Dependientes y por defecto (Default and Dependent Events)

o La norma dice que para cada evento debe REGISTRARSE:

▪ Fecha y hora,

▪ información del tema del atributo,

▪ identificación del host genera el registro de auditoría,

▪ clase de evento e

▪ identificador del evento dentro de la clase y resultado del evento (éxito o fallo).

COBIT

La misión del COBIT: buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.

EXTRACTOS DEL LIBRO



115

▪ Un Resumen Ejecutivo, el cual consiste en una síntesis ejecutiva que proporciona a la alta

gerencia entendimiento y conciencia sobre los conceptos clave y principios del COBIT.

▪ Un Marco Referencial, el cual proporciona a la alta gerencia un entendimiento más detallado de los

conceptos clave y principios del COBIT, e identifica los cuatro dominios de COBIT describiendo en

detalle, además, los 34 objetivos de control de alto nivel e identificando los requerimientos de

negocio para la información y los recursos de las Tecnologías de la Información que son

impactados en forma primaria por cada objetivo de control.

▪ Los Objetivos de Control, los cuales contienen declaraciones de los resultados deseados o

propósitos a ser alcanzados mediante la implementación de 302 objetivos de control detallados y

específicos a través de los 34 procesos de las Tecnologías de la Información.

▪ Las Guías de Auditoria, las cuales contienen los pasos de auditoría correspondientes a cada uno

de los 34 objetivos de control de TI de alto nivel para proporcionar asistencia a los auditores de

sistemas en la revisión de los procesos de TI con respecto a los 302 objetivos detallados de

control recomendados para proporcionar a la gerencia certeza o unas recomendaciones

▪ Conjunto de Herramientas de Implementación, el cual proporciona las lecciones aprendidas por

organizaciones que han aplicado COBIT rápida y exitosamente en sus ambientes de trabajo.

▪ Este conjunto de herramientas de implementación incluye la Síntesis Ejecutiva, proporcionando a

la alta gerencia conciencia y entendimiento del COBIT.

▪ También incluye una guía de implementación con dos útiles herramientas:

o Diagnóstico de la Conciencia de la Gerencia y el Diagnóstico de Control de TI, para

proporcionar asistencia en el análisis del ambiente de control en TI de una organización.

o También se incluyen varios casos de estudio que detallan como organizaciones en todo

el mundo han implementado COBIT exitosamente.

o Adicionalmente, se incluyen respuestas a las 25 preguntas más frecuentes acerca del

COBIT, así como varias presentaciones para distintos niveles jerárquicos y audiencias

dentro de las organizaciones;

SELECCION DE MUESTRAS PARA EFECTUAR PRUEBAS

Enfoques que puede utilizar el auditor para determinar el tamaño de la muestra y los criterios de selección:

• Estadístico o de muestreo: a través de este método el auditor decide el número de ítems

(cantidad) o tamaño que debe tener la muestra para representar el universo (precisión) y en qué

porcentaje la muestra representa al universo (veracidad). Este enfoque permite que el auditor

cuantifique la probabilidad de error de que la muestra no sea suficientemente representativa.

• Para armar una muestra verdadera, cada miembro del universo tiene igual oportunidad de ser

escogido y cada miembro de la muestra debe ser escogido

EXTRACTOS DEL LIBRO



116

Conceptos estadísticos:

• Coeficiente de confianza: % de probabilidad en que la muestra representa al universo. Cuanto más grande es este % más grande es la muestra si los controles internos son fuertes reducir el coeficiente de confiabilidad

• Nivel de riesgo o probabilidad de error en la muestra seleccionada es 1- confianza

• Precisión de la muestra: es la diferencia entre el tamaño de la muestra y el universo.

• Cuanto más grande es la diferencia o precisión más pequeña es la muestra y mayor el riesgo que algo no sea detectado

• Mediana de la muestra: es el tamaño promedio de la muestra. Tiene distribución normal. Para el cálculo se usan los valores de la muestra y el tamaño de la muestra

• Desvío estándar de la muestra: mide la distribución de los valores de la muestra respecto de la mediana. Para el cálculo se usan los valores de la muestra, la mediana de la muestra y el tamaño de la muestra

Métodos que pueden utilizarse en el muestreo estadístico:

• De Atributos o estimativo: determina el valor de presencia o ausencia (ocurrencia) de un

atributo que en este caso será un control o un conjunto de controles.

o Es muy útil para realizar pruebas de cumplimiento por ej. Para determinar la cantidad

de ocurrencia del atributo Firma en los formularios de pasaje a producción.

o La precisión se expresa en %

o Solo en el muestreo de atributos puede establecerse la Tasa de Error es decir el

porcentaje de errores que esperan detectarse en la muestra. Cuanto más grande se

defina más grande deberá ser la muestra

o Si en una muestra el auditor encuentra 2 errores para determinar si están o no dentro

de los márgenes de aceptabilidad, solo puede lograrse estableciendo primero la tasa

de error en la muestra.

• De Variables o de estimación media o de estimación dólar: se utiliza para determinar el valor

(en la unidad de medida que quiera por ej. dólares, cantidad) por ej. De errores que aparecen

en una muestra.

o Sirve particularmente para las pruebas sustantivas. Por ej. Para ver la cantidad de

módulos objetos erróneos en la biblioteca de objetos de producción

o La precisión se expresa en cantidad o en valores

▪ Solo en el muestreo de variables puede establecerse el Desvío Standard del

Universo. Cuanto más grande es el desvío estándar más grande debe ser el

Pasos que deben cumplirse para hacer pruebas por muestreo:

• Objetivo de la prueba

• Universo a muestrear

• Selección del método de muestreo

• Calculo del tamaño de la muestra

• Se utiliza el coeficiente de confiabilidad y la precisión promedio. En el muestreo por atributos se usa además la tasa de error y en el muestreo de variables se usa además la desviación estándar del universo

• Selección de la muestra

EXTRACTOS DEL LIBRO



117

• Evaluación de la muestra La razón más importante para utilizar el muestreo estadístico es que los resultados

pueden ser utilizados para proyectar tasas de error para todo el universo

• No estadístico o por juicio: se utiliza el criterio en función a ítems que se consideran riesgosos,

materiales, etc. Para determinar el tamaño que debe tener la muestra y los ítems que se

seleccionaran

Auditemos un Sistema...

Ejemplo de auditoría de sistemas en un Sistema de Liquidación de haberes: preguntas a realizar (se)

▪ Pruebas de Cumplimiento

o ¿Quién liquida los haberes es distinto de..

o Quién los autoriza...?

o Quién efectúa las acreditaciones de sueldos...?

o Quién efectúa el pago de cargas sociales...?

o Quién autoriza los aumentos de sueldo...?

o Quién efectúa el cálculo de las comisiones de venta...?

o ¿Qué periodicidad tienen estos cambios?

o ¿Hay procedimientos establecidos en cuanto a los límites de firma para pagos y

gastos?¿Están actualizados?

o ¿Quedan pistas de auditoría de los movimientos efectuados?

o ¿Se efectúan cálculos manuales que se ingresen en forma directa a la liquidación?

o ¿Hay una política establecida para el pago de horas extra y premios?

EXTRACTOS DEL LIBRO



118

o ¿Quién controla el presentismo/ausentismo y por qué método?

o ¿El sistema de Liq. Haberes recibe y emite información por medio de interfaces?

o Son interfaces de “texto”

o ¿Se realizan provisiones en función a montos determinados por el sistema?

o ¿En forma manual o automática?

o ¿Son realizadas por personas distintas?

o ¿Existe una línea de reemplazos con motivos de licencias vacacionales del personal que

liquida los haberes?

o Al utilizar el sistema ¿el usuario debe identificarse con usuario/contraseña?

o ¿Que mecanismo de seguridad de contraseña hay en funcionamiento?

o ¿Expira la sesión de trabajo de un usuario luego de un determinado tiempo de

inactividad?

o ¿Existe un procedimiento para dar de baja en el acceso a los sistemas al personal

desvinculado?

▪ Pruebas Sustantivas

o Buscar legajos y cajas ahorro duplicados

o Comparar retenciones practicadas y su ingreso

o Conceptos inusuales de pago y descuento

o Horas de entrada/salida de reloj vs. horas extra

o Revisar la autorización de las horas extra

o Revisar el pago de haberes por trabajos en días feriados

o Control de días por examen y enfermedad

o Recalcular importes determinados

o Determinar provisiones

o Determinar comisiones pendientes de ex-vendedores

▪ La fortaleza de las pruebas de cumplimiento influenciará la naturaleza y alcance de las pruebas

sustantivas

▪ Hoy en día, es “económico” realizar pruebas de “caja blanca” aún para auditores externos

▪ Paulatinamente, “cae” la necesidad de efectuar “muestras”, debido a SW de datamining

▪ Las normas técnicas de auditoría NO varían por el uso de herramientas tecnológicas – RT 7

▪ La normativa profesional, expone QUE debe hacerse, pero no COMO.

tabla de contenido -...

Documents