martes, 3 de julio de 2018



PARA LOS ESTUDIANTES DE PREVENCIÓN Y DETECCIÓN DE FRAUDES
AUDITORÍA FORENSE






El fraude en los sistemas computarizados
 


Clasificación de los riesgos según su origen


Fallas de hardware  
Daño del computador
  • La unidad daña el disco
  • La unidad daña la cinta
  • El disco o la cinta no se pueden leer
  • Daño de la impresora
  • Daño del equipo de transcripción
  • Daño en la transmisión
  • Daño de la información en C.D. O discos
  • Caída de sistema en cajeros automáticos
  • Fallas técnicas en la lectura de tarjetas débito
  • Dobles procedimientos en el registro de operaciones


Fallas humanas


Error de
Reporte
  • Transcripción
  • Transmisión


Error del
Programador
  • Operador
  • Cintotecario


Fallas humanas intencionales


  • Saqueos
  • Sabotajes con o sin violencia
  • Violación de la privacidad
  • Fraude
  • Colusión
  • Acceso indebido de información confidencial
  • Adquisición de información para la competencia
  • Modificación de registros
  • Instalación de virus para borrar datos
  • Pánico económico mediante el uso de correo electrónico
  • Ofrecimiento de servicios por internet con fines mal intencionados
  • Manejo de páginas Web
  • Suplantación de firmas reconocidas
  • Manipulación de código de barras
  • Uso de mecanismos fraudulentos en cajeros automáticos


Modernamente el autor no fundamenta la eficiencia de su trabajo en el descubrimiento de los fraudes que puedan estarse dando en las empresas auditadas. Es suficiente que el trabajo de auditoría sea desarrollado con base en las normas de auditoría aceptadas por la comunidad de Auditores, a nivel internacional, para que goce de confiabilidad por parte de quienes hacen uso de la información auditada. Sin embargo, normalmente, una auditoría adelantada con rigor tiende a descubrir la mayoría de los fraudes en los entes auditados.


La auditoría, en su versión moderna, es asesora de la alta dirección para efectos de implementar oportuna y adecuadamente el sistema de control interno e imprimir, de esta manera, confiabilidad, en la información financiera o de otro tipo, con relación a la exactitud, eficiencia, efectividad y economicidad de las operaciones empresariales.


A continuación describimos algunos de los fraudes que normalmente se presentan en los sistemas computarizados.


Manipulación de transacciones


La manipulación de transacciones ha sido el método más utilizado por la comisión de fraudes, en ambientes computarizados.


El mecanismo para concretar el fraude sistémico o informático, consiste en cambiar los datos antes o durante la entrada al computador. Puede ser ejecutado por cualquier persona que tenga acceso a crear, registrar, transportar, codificar, examinar, comprobar o convertir los datos que entran al computador. Por ejemplo alterar los documentos fuente y modificar el contenido en alto relieve de las tarjetas de crédito entre otros.


Técnicas de Salami


La técnica de Salami consiste en sustraer pequeñas cantidades (tajadas) de un gran número de registros, mediante la activación de rutinas incluidas en los programas aplicativos corrientes. La empresa es la dueña del salami (archivo de datos) de donde el desfalcador toma pequeñas sumas (centavos) para llevarlos a cuentas especiales conocidas solamente por el perpetrador del fraude. Aquí, normalmente, los totales de control no se alteran y en consecuencia, se dificulta descubrir al fraude y a quién lo comete.


La técnica de Salami es muy común en los programas que calculan intereses, porque es allí en donde se facilita la sustracción de residuos que generalmente nadie detecta, configurándose cómodamente el fraude.


Técnica del caballo de troya


La técnica del caballo de troya consiste en insertar instrucciones, con objetivos de fraude, en los programas aplicativos, de manera que, además de las funciones propias del programa, también ejecute funciones no autorizadas.


Las instrucciones fraudulentas se esconden dentro de las demás, obteniendo acceso libre a los archivos de datos, normalmente usados por el programa.


Esta técnica es muy común debido a la facilidad que se presenta para ocultar las instrucciones fraudulentas dentro de cientos de instrucciones que generalmente componen los programas aplicativos. Sin embargo, no siempre la técnica del caballo de troya se configura en programas de aplicación, también se acostumbra en sistemas operacionales y en programas utilitarios.


Para efectos de incluir la instrucción en un programa legítimo, el programador aprovecha la autorización para hacer cambios corrientes a los programas y en ese momento incluye las instrucciones fraudulentas, evidentemente no autorizadas. A esto se debe que la técnica haya adoptado el nombre de caballo de troya.


Las bombas lógicas


Las bombas lógicas son una técnica de fraude, en ambientes computarizados, que consiste en diseñar e instalar instrucciones fraudulentas en el software autorizado, para ser activadas cuando se cumpla una condición o estado 'específico. Esta técnica de fraude informático, es difícil de descubrir, porque mientras no sea satisfecha la condición o estado específico, el programa funciona normalmente procesando los datos autorizados sin arrojar sospecha de ninguna clase.


Cuando la condición de fraude se cumple, entonces automática mente, se ejecuta la rutina no autorizada produciéndose de ésta manera fraude. Entre las condiciones más frecuentes, para la práctica de este tipo de fraude tenemos: abonar un crédito no autorizado a una cuenta cuando el reloj del computador alcance determinado día y hora. Hacer un traslado de fondos cuando el computador encuentre una determinada condición como por ejemplo una fecha.


 
Esta técnica de fraude se diferencia de la del caballo de troya, básicamente, en que la instrucción o instrucciones fraudulentas se incluyen en el programa, cuando se está generando originalmente el sistema. En cambio en el caballo de troya, se incluyen las instrucciones fraudulentas cuando es autorizada una modificación al programa. Esto es, que se ejecutan las modificaciones autorizadas y se aprovecha la oportunidad para agregar instrucciones fraudulentas.


Juego de la pizza


El juego de la pizza es un método relativamente fácil para lograr el acceso no autorizado a los Centro de PED, así estén adecuadamente controlados. Consiste en que un individuo se hace pasar por la persona que entrega la pizza y en esa forma se garantiza la entrada a las instalaciones de PED durante y después de las horas de trabajo.


Ingeniería social


Esta técnica consiste en planear la forma de abordar a quienes pueden proporcionar información valiosa o facilitar de alguna manera la comisión de hechos ilícitos. Se recurre luego, a argumentos conmovedores y/o sobornar a las personas para alcanzar los objetivos deseados.


Esta técnica combina las características del petulante y del jactancioso para conseguir el hecho fraudulento. Además, normalmente, usan un estilo de actuación importante, vestido elegante, amenazas sutiles y porciones aisladas de información clave de la organización para influir en la otra persona.


Trampas-puerta


Las trampas - puerta son deficiencias del sistema operacional, desde las etapas de diseño original (agujeros del sistema operacional).


Los systems programmers o expertos programadores del sistema, pueden aprovechar las debilidades del sistema operacional para insertar instrucciones no autorizadas, en dicho sistema, con el objeto de configurar fraudes informáticos.


Las salidas del sistema operacional permiten el control a programas escritos, por el usuario, lo cual facilita la operacionalización de fraudes, en numerosas opciones.


Superzaping


El superzaping deriva su nombre de superzap, un programa utilizado de IBM de un alto riesgo por sus capacidades. Permite adicionar, modificar y/o eliminar registros de datos, datos de registro o agregar caracteres dentro de un archivo maestro, sin dejar rastro y sin modificar ni corregir los programas normalmente usados para mantener el archivo.


Este programa permite consultar los datos para efectos de conocimiento o para alterarlos omitiendo todos los controles y seguridades en actividad establecidos.


Hay otro programa similar al superzap, en el sistema 34 de IBM, denominado DFU. Todos los sistemas de computación tienen programas de alto riesgo como el superzap, los cuales funcionan como especies de llaves maestras o programas de acceso universal.


Evasiva astuta


Esta técnica consiste en un método inventado como consecuencia de la aparición de los compiladores. Se trata de que los system programmers se inventaron la forma de comunicarse con la computadora a través del lenguaje de máquina.


Esta técnica también se conoce con el nombre de parches. Es un método limpio para entrar en la computadora, cambiar las cosas, hacer que algo suceda y hasta cambiarlas para que vuelvan a su forma original sin dejar rastros para auditoría. En la medida en que se fue sofisticando la tecnología de esta metodología de fraude, se le llamó DEBBE: Does Everything But Eat (una rutina que hace todas las cosas menos comer). Es usada por los fanáticos de los bits, quienes literalmente desean hablar con las computadoras.

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)