Riesgos Informticos

Qu son ?
Los riesgos informticos son exposiciones tales como atentados y
amenazas a los sistemas de informacin.
La probabilidad de que una amenaza se materialice,
utilizando la vulnerabilidad existente de un activo o grupos de
activos, generndoles prdidas o daos.
Fuente: Organizacin Internacional por la Normalizacin (ISO).
TIPOS DE RIESGO
Riesgo de Integridad Riesgo de Relacin Riesgos de Acceso

Interface del Se refieren al uso Procesos de

usuario oportuno de la negocio
Procesamiento informacin creada Aplicacin
Procesamiento de por una aplicacin. Administracin de
errores Estos riesgos se la informacin
relacionan
Interface Entorno de
directamente a la
Administracin de procesamiento
informacin de
cambios toma de Redes
Informacin decisiones. Nivel fsico
 Riesgos en la Riesgos de Seguridad
Riesgos de Utilidad
Infraestructura General
Pueden ser enfrentados Planeacin organizacional Riesgos de choque de
por el direccionamiento Definicin de las elctrico
de sistemas antes de que aplicaciones Riesgos de incendio
los problemas ocurran. Administracin de Riesgos de niveles
Tcnicas de seguridad inadecuados de energa
recuperacin/restauracin Operaciones de red y elctrica.
usadas para minimizar la computacionales Riesgos de radiaciones
ruptura de los sistemas.
Administracin de Riesgos mecnicos
Backups y planes de sistemas de bases de datos
contingencia controlan
Informacin / Negocio
desastres en el
procesamiento de la
informacin.
 Concentracin de
procesamiento de
aplicaciones mas grandes y de
mayor complejidad
Una de las causas ms
importantes del incremento
en los riesgos informticos
probablemente sea el
aumento en la cantidad de
aplicaciones o usos que se
le da a las computadoras y
la consecuente
concentracin de
informacin y tecnologa
de software para el
procesamiento de datos.
Dependencia en el personal
clave
La dependencia en
individuos clave, algunos de
los cuales poseen un alto
nivel de desempeo
tcnico, con frecuencia
pone a la compaa en
manos de relativamente
pocas personas, siendo que
stas por lo general son
externas a la organizacin.
Desaparicin de los controles
tradicionales
Las aplicaciones contienen
verificadores automticos
que aseguran la integridad
de la informacin que se
procesa. Este gran cambio
en el criterio sobre el
control de los empleados y
las brechas respecto a la
comunicacin, crean
situaciones de seguridad
totalmente diferentes.
 Huelgas, Terrorismo e
inestabilidad social
El nivel actual de riesgo en
computacin se debe revisar
tambin dentro del contexto
de inestabilidad social en
muchas partes del mundo.
Ha habido ataques fsicos a
diversas instalaciones, sin
embargo algunas veces se
trata de la incursin de
personal interno y no de
agitador.
Mayor conciencia de los
proveedores
Hasta hace pocos aos este
tema no constitua motivo
de gran preocupacin para
los proveedores, pero la
conciencia acerca de la
exposicin a los riesgos los
ha obligado a destinar
presupuestos considerables
para la investigacin acerca
de la seguridad.
 FRAUDE INFORMATICO
Accin culpable realizada por un ser humano que causa un perjuicio a personas
sin que necesariamente se beneficie el autor o que por el contrario produzca un
beneficio ilcito a su autor aunque no perjudique en forma directa o indirecta a
la vctima.
TIPOS DE DELITOS O FRAUDES
INFORMATICOS
1. Sabotaje informtico
Conductas dirigidas a causar daos fsicos
Esto es cuando la persona que comete el delito causa daos fsicos al hardware
del equipo objeto del delito. Aqu el dao fsico se puede ocasionar de muchas
formas por la persona que tiene la intencin de causar dao.
Conductas dirigidas a causar daos lgicos
Por ejemplo, daar la informacin contenida en unidades de almacenamiento
permanente, ya sea alterando, cambiando o eliminando archivos; mover
configuraciones del equipo de manera que dae la integridad del mismo; atentar
contra la integridad de los datos pertenecientes al dueo del equipo de cmputo y
todas formas de ocasionar daos en la parte lgica de un sistema de cmputo.
 Medios para causar daos lgicos
Virus
Es una serie de claves programticas que pueden adherirse a los programas legtimos y propagarse a otros
programas informticos.
Gusanos
Se fabrica de forma anloga al virus con miras a infiltrarlo en programas legtimos de procesamiento de
datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse.
Bomba lgica o Cronolgica
Exige conocimientos especializados ya que requiere la programacin de la destruccin o modificacin de
datos en un momento dado del futuro. Son difciles de detectar antes de que exploten, son las que poseen
el mximo potencial de dao.
 2. Fraude a travs de computadoras
Manipulacin de los datos de entrada
Conocido tambin como sustraccin de datos, es fcil de cometer y difcil de descubrir. Este delito no requiere de
conocimientos tcnicos de informtica y puede realizarlo cualquier persona que tenga acceso a las funciones normales de
procesamiento de datos en la fase de adquisicin de los mismos.
Manipulacin de Programas
Consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas
rutinas. Un mtodo comn utilizado por las personas que tienen conocimientos especializados en programacin informtica
para que pueda realizar una funcin no autorizada al mismo tiempo que su funcin normal.
Manipulacin de los datos de salida
El ejemplo ms comn es el fraude de que se hace objeto a los cajeros automticos mediante la falsificacin de instrucciones
para la computadora en la fase de adquisicin de datos. Tradicionalmente esos fraudes se hacan a base de tarjetas bancarias
robadas, sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para
codificar informacin electrnica falsificada en las bandas magnticas de las tarjetas bancarias y de las tarjetas de crdito.
3. Estafas Electrnicas
El hacer compras en lnea mediante el uso de Internet o alguna red de servicio,
y no cumplir con lo establecido en el acuerdo de compra en entregar el
producto de forma completa o parcial se considera fraude, lo que es muy
comn al hacer compras por Internet donde se requiere pagar a la cuenta de
alguna persona antes de recibir el pedido.
4. Pesca u olfateo de contraseas
Hacer uso de programas o mtodos que puedan descifrar claves o que puedan
averiguar o buscarlas. Ya sean claves personales de una cuenta de correo
electrnico, contrasea para entrar al sistema, claves de acceso a algn sitio,
claves de productos, etc.
5. Juegos de Azar
Los juegos de azar son aquellos juegos de casino o que hacen uso del factor
"suerte"
Para obtener ganancias a travs de la red, donde se hacen apuestas o inversiones
de dinero.
Esto est prohibido en ciertos lugares, pases o regiones, as que solo aplica para
ellos. Pues dependiendo de la Ley que tengan en esos lugares, puede o no ser
un delito. Y si se sorprende a una persona obteniendo ganancias producto de
los juegos de azar, se hallar como cometiendo un delito.
6. Lavado de dinero
Poner a funcionar el dinero producto del narcotrfico, o producto de estafas,
robos, fraudes o cualquier actividad ilegal. Pues este dinero lo invierten en
alguna actividad que aparenta no tener nada de malo, y lo que se obtiene es
producto de la inversin de dinero mal obtenido, por lo que no est permitido
el Lavado de Dinero
7. Copia ilegal de Software
Esta puede entraar una prdida econmica sustancial para los propietarios
legtimos. Algunas jurisdicciones han tipificado como delito esta clase de
actividad y la han sometido a sanciones penales. El problema ha alcanzado
dimensiones transnacionales con el trfico de esas reproducciones no
autorizadas a travs de las redes de telecomunicaciones modernas. Al respecto,
consideramos, que la reproduccin no autorizada de programas informticos
no es un delito informtico debido a que el bien jurdico a tutelar es la
propiedad intelectual
8. Espionaje Informtico
El acceso se efecta a menudo desde un lugar exterior, situado en la red de
telecomunicaciones, recurriendo a uno de los diversos medios que se
mencionan a continuacin. El delincuente puede aprovechar la falta de rigor de
las medidas de seguridad para obtener acceso o puede descubrir deficiencias en
las medidas vigentes de seguridad o en los procedimientos del sistema. A
menudo, los piratas informticos se hacen pasar por usuarios legtimos del
sistema; esto suele suceder con frecuencia en los sistemas en los que los
usuarios pueden emplear contraseas comunes o contraseas de
mantenimiento que estn en el propio sistema.
9. Infraccin de Copyright en bases de
datos
Es la infraccin de los derechos reservados del autor, ya que todo producto de
marca tiene sus derechos y el infringir y violar la informacin de las bases de
datos, ya sea ver, copiar, borrar, alterar es tambin un delito.
10. Uso ilegitimo de Sistemas Informticos
Ajenos.
El usar un Sistema Informtico de manera prohibida o incorrecta fuera del
propsito para el que fueron creados, o para obtener ganancias a su autor o
solo por cometer actos ilegtimos en contra de alguien o algn Sistema.
11. Accesos no autorizados
El acceder a informacin, sitios o secciones que no estn autorizadas a usuarios
comunes sino solo a aquellos que tienen autorizacin. Acceso indebido. El que
sin la debida autorizacin o excediendo la que hubiere obtenido, acceda,
intercepte, interfiera o use un sistema que utilice tecnologas de informacin,
ser penado con prisin de uno a cinco aos de crcel.
12. Interceptacin de E- mail
Al enviar mensajes y correo electrnico a travs de la Red, e interceptar esos
mensajes y desviarlos o eliminarlos, es un delito. Tambin esto podra entrar
con los delitos de espionaje y podran acumularse por lo que la sentencia sera
mayor. An ms podra aumentarse cuando hay una demanda por parte del
afectado si logra comprobarse.
13. Falsificacin Informtica
Como Objeto
Cuando se alteran datos de los documentos almacenados en forma computarizada.

Como Instrumento
Las computadoras pueden utilizarse tambin para efectuar falsificaciones de
documentos de uso comercial. Cuando empez a disponerse de fotocopiadoras
computarizadas en color a base de rayos lser surgi una nueva generacin de
falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias
de alta resolucin, pueden modificar documentos e incluso pueden crear documentos
falsos sin tener que recurrir a un original, y los documentos que producen son de tal
calidad que slo un experto puede diferenciarlos de los documentos autnticos.
 Tcnicas utilizadas para perpetrar los
fraudes
Tcnica de Caballo de Troya
Consiste en insertar instrucciones, con objetivos de fraude, en los programas
aplicativos, de manera que, adems de las funciones propias del programa,
tambin ejecute funciones no autorizadas.
Tcnica del Taladro
Consiste en utilizar una computadora para llamar o buscar la manera de entrar al
sistema con diferentes cdigos hasta cuando uno de ellos resulte aceptado y
permita el acceso a los archivos deseados.
 Tcnicas utilizadas para perpetrar los
fraudes
Agujeros del Sistema Operativo o Trampas - Puerta
Los expertos programadores del sistema pueden aprovechar las debilidades del sistema
operacional para insertar instrucciones no autorizadas, en dicho sistema, con el objeto de
configurar fraudes informticos. Las salidas del sistema operacional permiten el control a
programas escritos, por el usuario, lo cual facilita la operacionalizacion de fraudes.
Recoleccin de Basura
Es una tcnica para obtener informacin abandonada o alrededor del sistema de
computacin, despus de la ejecucin de un JOB. Consiste en buscar copias de listados
producidos por el computador y papel carbn para de all extraer informacin, en
trminos de programas, datos, passwords y reportes especiales bsicamente.
 Tcnicas utilizadas para perpetrar los
fraudes
Juego de la Pizza
Es un mtodo relativamente fcil para lograr el acceso no autorizado a los centros de PED, as
estn adecuadamente controlados.
Consiste en que un individuo se hace pasar por la persona que entrega la pizza y en esa forma
se garantiza la entrada a las instalaciones de PED durante y despus de las horas de trabajo.
Bombas de relojera o Bombas lgicas
Las bombas lgicas son una tcnica de fraude, en ambientes computarizados, que consiste en
disear e instalar instrucciones fraudulentas en el software autorizado, para ser activadas cuando
se cumpla una condicin o estado especfico.
 Tcnicas utilizadas para perpetrar los
fraudes
Zuperzapping
Este programa permite consultar los daros para efectos de conocimiento o para alterarlos
omitiendo todos los controles y seguridades en actividad establecidos.
Manipulaciones de Transacciones
La manipulacin de transacciones ha sido el mtodo ms utilizado para la comisin de
fraudes, en ambientes computarizados.
El mecanismo para concretar el fraude sistmico o informtico, consiste en cambiar los
datos antes o durante la entrada al computador. Puede ser ejecutado por cualquier persona
que tenga acceso a crear, registrar, transportar, codificar, examinar, comprobar o convertir
los datos que entran al computador