Professional Documents
Culture Documents
Tarifa Postal Reducida Servicios Postales Nacionales S.A. No. 2016-186 4-72, vence 31 de Dic. 2016
Entrevista
Fraude informtico: preguntas y respuestas con Muna Dora Buchahin Abulhosn 8
Mencionar su nombre significa indagar entre los pesos pesados del fraude en el
mbito de las tecnologas de la informacin y las comunicaciones. A ella nada se le
escapa.
Columnista Invitado
Reflexiones sobre el fraude personal y corporativo 12
El nuevo mundo interconectado genera tension en trminos de seguridad y los
controles terminan siendo los ms simples, guiados por el sentido comn.
Encuesta
Tendencias 2016 18
Encuesta nacional de seguridad informtica
Retos de la ciberseguridad.
Cara y Sello
Fraude informtico y el contexto colombiano 38
El ritmo que acompaa los avances tecnolgicos en trminos de fraude, no es el
mismo de los controles ni de las alertas ni de la cultura de prevencin y, menos an,
del marco jurdico que los cobija.
Uno
Fraude informtico, una amplia mirada 59
Diferencias de conceptos e implicaciones entre fraude, crimen ciberntico y otros.
Dos
Fraude informtico. Una realidad emergente en un mundo digitalmente modificado 66
SISTEMAS 1
Publicacin de la Asociacin Colombiana de
Ingenieros de Sistemas (ACIS)
Resolucin No. 003983 del
Ministerio de Gobierno
Tarifa Postal Reducida Servicios Postales
Nacional S.A. No. 2016-186 4-72
ISSN 0120-5919
Apartado Areo No. 94334
Bogot D.C., Colombia
Direccin General
Jeimy J. Cano Martnez
Consejo de Redaccin
Francisco Rueda F.
Julio Lpez M.
Mara Esperanza Potes L.
Gabriela Snchez A.
Manuel Dvila S.
Andrs Ricardo Almanza J.
Emir Hernando Pernet C.
Fabio Augusto Gonzlez O.
Diego Fernando Marn S.
Editor Tcnico
Jeimy J. Cano Martnez
Editora
Sara Gallardo Mendoza
Directora Ejecutiva
Beatriz E. Caicedo Rioja
Diseo y diagramacin
Bruce Garavito
Impresin
Javegraf
Abril-Junio 2016
Calle 93 No.13-32 Of. 102
Telfonos 616 1407 616 1409
A.A. 94334
Bogot D.C.
www.acis.org.co
Editorial
Fraude informtico:
generoso caldo
de cultivo
Enfrentarlo, se convierte en
una tarea exigente y de visin
multidisciplinar.
4 SISTEMAS
tienen un sitio preferente donde comunidad estadsticas neutrales y
operar. acadmicas en temas relevantes
para el gremio y la nacin, presenta
De ah que esta edicin de la revista se los resultados de la XVI Encuesta
ocupe de examinar el desafo del Nacional de Seguridad Informtica -
fraude informtico, para motivar refle- ENSI-16-, basada en el conocimien-
xiones conceptuales y prcticas to adquirido a lo largo de aos de
conectadas con la realidad actual de compilacin y anlisis de informa-
los individuos y las organizaciones, en cin, nos muestra las tendencias y
Colombia y en el mundo. los retos frente a las amenazas
emergentes en la proteccin de la
Dentro de ese contexto, el ingeniero informacin, en la dinmica del con-
Juan Carlos Reyes, columnista invit- texto colombiano.
ado, plantea sus anlisis desde la
cotidianidad del fraude y las encrucija- Teniendo en cuenta que el fraude
das actuales en un mundo digitalmen- informtico es una problemtica
te modificado e hiperconectado, en el multidisciplinar, el foro que habitual-
que el sentido comn que suele ser el mente se realiza para cada nmero
menos comn de los sentidos valga de la revista, cont con la participa-
la redundancia-, debe ser la prctica cin de la academia y la consultora,
ms habitual para hacernos ms resis- profesionales especialistas en estos
tentes a las estrategias de los delin- asuntos. El dilogo planteado por los
cuentes. abogados, los contadores pblicos y
los ingenieros de sistemas, sobre la
A nivel internacional, la Asociacin de realidad de fraude en el contexto
Examinadores Certificados de Fraude digital, establece una postura
(en ingls Association of Certified integral que procura, no slo ver los
Fraud Examiners ACFE-) es la resultados de las actividades ilega-
entidad global que ofrece un cuerpo de les, sino el alcance de la conducta
conocimiento destinado a la lucha criminal que, asistida por la tecno-
contra el fraude, en todas sus formas. loga, crea una realidad que engaa
En tal sentido, la entrevista realizada a y compromete millonarios recursos
la doctora Muna Dora Buchahin financieros que afectan tanto a las
Abulhosn, fundadora y vicepresidente organizaciones como a la nacin
de la ACFE, Captulo Mxico, ilustra la misma.
dinmica del fraude informtico en una
dimensin internacional, as como los Finalmente, se presentan dos artcu-
retos que deben encarar los especia- los que buscan explorar y concep-
listas antifraude en el reconocimiento y tualizar la problemtica del fraude
control de este tipo de conductas, en informtico.
Latinoamrica y el mundo.
Por un lado, el ingeniero y magster
De manera complementaria, el inge- Joshua Gonzlez, profesor de la
niero y magster Andrs Almanza, Universidad de los Andes, detalla las
continuando con la tradicin de la diferencias entre el cibercrimen, el
Asociacin Colombiana de Ingenieros fraude y otras conductas delictivas
de Sistemas ACIS-, de ofrecer a la en el terreno digital, como funda-
SISTEMAS 5
mento para comprender las estrat- jurdico y social, sobre plataformas de
egias de seguridad y control inmersas productos y/o servicios digitalmente
en la dinmica de la inevitabilidad de la modificados.
falla, en el contexto de las organizacio-
nes a nivel nacional e internacional.
Jeimy J. Cano M., Ph.D, Ed.D(c), CFE. Ingeniero y Magister en Sistemas y Computacin por
la Universidad de los Andes. Ph.D in Business Administration por Newport University,
Especialista en Derecho Disciplinario por la Universidad Externado de Colombia y candidato
a Doctor en Educacin por la Universidad Santo Toms. Cuenta con un certificado ejecutivo
en gerencia y liderazgo del MIT Sloan School of Management, MA, USA. Profesional
certificado como Certified Fraud Examiner (CFE) por la Association of Certified Fraud
Examiners y Cobit5 Foundation Certificate por ISACA. Director de la Revista SISTEMAS de la
Asociacin Colombiana de Ingenieros de Sistemas ACIS.
6 SISTEMAS
XXXVI SALON DE INFORMTICA 2016
EMPRENDIMIENTO E INNOVACIN EN TI
Este XXXVI Saln de Informtica de ACIS, tiene por objetivos principales: 1) fortalecer las
capacidades en emprendimiento e innovacin del gremio, con miras a responder a los retos
actuales de la economa nacional; 2) presentar casos y experiencias que ilustren a los
asistentes con ejemplos de la realidad nacional, 3) contribuir a la divulgacin de las
oportunidades y polticas gubernamentales, orientadas al sector de TI, y 4) servir de foro de
discusin de las temticas relevantes al gremio y servir de canal de comunicacin y transmisin
de las mismas a los entes participantes.
Contenido
Fraude informtico:
preguntas y
respuestas
con Muna Dora
Buchahin Abulhosn
Mencionar su nombre significa indagar entre los pesos
pesados del fraude en el mbito de las tecnologas de la
informacin y las comunicaciones. A ella nada se le escapa.
Sara Gallardo M.
8 SISTEMAS
dictmenes de casos presentados dad lo obligan a una actualizacin
ante autoridades penales y adminis- permanente para acreditar su exper-
trativas en Mxico, pas donde reside ticia, las competencias y las habili-
y es testigo de su arduo trajinar por los dades forenses para cualquier tipo de
laberintos de la seguridad de la infor- investigacin como especialista anti-
macin. fraude. Su actuacin se rige con los
ms altos estndares de tica, conoci-
La ms reciente noticia en su laureado miento y experiencia que contemplan
camino es el premio ACFE: Certified el dominio de diversas tcnicas foren-
Fraud Examiner of the Year Award ses, dado que el examinador de frau-
2016, entre los Certified Fraud des certificado (CFE) se integra en
Examiner CFE-, Examinador Certi- cualquier organizacin pblica o priva-
ficado de Fraude, de 208 captulos en da, independientemente de las distin-
el mundo. tas regulaciones legales a cada pas.
SISTEMAS 9
un correo engaoso, acceder a una envos de correos a personas espec-
liga de un sitio conocido seguro (el ficas (est dirigido al ataque) y son
cual en realidad es una copia del envos de remitentes o empresas que
original), y cuyo propsito es que el seguramente conoce el destinatario.
usuario ingrese datos personales Ante este escenario, es fcil que la
(usuario, contrasea, nmero de tarje- vctima crea como vlido el correo y
ta bancaria, etc.), para que stos sean proporcione la informacin solicitada,
robados y utilizados posteriormente ingresando a las ligas que se indican
para fines ilcitos, entre ellos el merca- en el correo o descargando un archivo
do negro o el robo o retiro de dinero de puntual. El uso indebido de los datos
cuentas bancarias. personales es ahora un riesgo uni-
versal inminente, en un potencial mun-
do de fraudes cibernticos que ha
afectado a gran nmero de organiza-
ciones y ciudadanos.
10 SISTEMAS
(Platform as a Service PaaS-) o dar para la implementacin de un
Infraestructura como Servicio (Infras- sistema de gestin de la seguridad de
tructure as a Service IaaS-), tambin la informacin), ISO 27017 (estndar
han presentado vulnerabilidades que para la aplicacin de controles de
los delincuentes informticos han seguridad de informacin en sistemas
explotado. Muchas de ellas, por el o servicios basados en computacin
descuido del usuario al dejar sesiones en nube) e ISO 27032 (Gua sobre
remotas abiertas o accediendo desde ciberseguridad), por mencionar algu-
redes no seguras, lo cual es aprove- nas.
chado para accesos no autorizados y
robos de informacin. Es muy importante mantener comuni-
cacin constante interna entre el
RS: Qu tipo de entrenamiento personal de la organizacin, para
deben tener las personas y empre- conocer la recurrencia y los modus
sas para enfrentar el fraude operandi de los fraudes informticos.
informtico? Esto servir como insumo para
actualizar las polticas de seguridad o
MDBA: desde el ms alto nivel configuraciones especficas de siste-
organizacional, resulta imprescindible mas o la infraestructura de la organi-
implementar una cultura de seguridad zacin. Estas actualizaciones deben
de la informacin, comunicar y sensi- ser permanentes y alineadas a la
bilizar a todo el personal en lnea organizacin.
vertical y horizontal, y no estrictamen-
te en el sentido de seguridad infor- Debo decir que en Mxico existen
mtica, sino incluir una sensibiliza- grandes oportunidades de trabajo para
cin permanente, vinculada en las dis- aquellos jvenes que deciden estudiar
tintas reas y con un protocolo de estas carreras profesionales, y que
alerta a los posibles riesgos y vulne- hay escasez de personal en esta
rabilidades, en caso de un incidente o materia. Se asegura un futuro promi-
contingencia. sorio y lleno de actividad intensa para
los talentos.
La capacitacin debe centrarse en
modelos de seguridad de la informa- Siga la entrevista completa en el
cin y normas internacionales que siguiente link:
permitan seguir un marco de referen- http://acis.org.co/portal/content/entrev
cia, como las ISO/IEC 27001 (estn- ista-muna-dora-buchahin-abulhosn
SISTEMAS 11
Columnista Invitado
Reflexiones sobre el
fraude personal
y corporativo
El nuevo mundo
interconectado genera tension
en trminos de seguridad y los
controles terminan siendo los
ms simples, guiados por el
sentido comn.
12 SISTEMAS
que mantiene las ms viejas costum- conforma el tringulo, porque es tan
bres (como el fraus), pero que tiene humano e inherente al ser, que incluso
todas las oportunidades de las nuevas nos brinda una dimensin adicional,
tecnologas (el ciber). sin la cual aun cuando existiera la
oportunidad y la motivacin, el humano
Una de las aristas ms apasionantes no cometera un fraude: la racionaliza-
en torno a este tema es darse cuenta cin.
de que la nica diferencia entre hace
100 aos y ahora, es slo el medio por Racionalizacin: cuando el defrauda-
el cual se produce. Donald Cressey en dor tiene la motivacin y la oportuni-
su libro The Theft of Nation establece dad, debe vencer una ltima barrera,
una de las teoras ms comnmente que es l mismo; debe auto convencer-
aceptadas hoy, sobre por qu la gente se de que el fraude que est a punto de
comete fraude, llamada el tringulo cometer no es ilegal y tiene que
de cressey que se apuntala en tres justicarlo, no para sus jefes o sus
conceptos bsicos: compaeros sino para s mismo. Esto
es lo verdaderamente excitante de la
Motivacin: qu es lo que motiva al teora de Cressey. El defraudador
defraudador a cometer el ilcito? Tal debe pensar que se MERECE lo que
vez tiene problemas econmicos, hace, culpando al sistema, a la socie-
alguna presin nanciera, gasta en dad o a su entorno. Frases como he
forma excesiva, mantiene un estilo de trabajado mucho y no lo reconocen o
vida en contrava con sus ingresos o nadie se dar cuenta o lograr
est forzado a conseguir dinero (para compensarlo antes de que se enteren
pagar alguna extorsin, por ejemplo). estn a la orden del da para satisfacer
la necesidad de racionalizacin del
Oportunidad: el defraudador, ade- individuo, como parte de la argumenta-
ms de la motivacin, tiene la oportu- cin que usar si alguien se reere al
nidad de cometer el fraude? Es tema.
alguien que tiene acceso al dinero, a
los bienes o que tiene la autonoma Bien sea que el defraudador tenga
para negociar con ellos y obtener un acceso al dinero fsico o al sistema de
benecio personal? Es el administra- informacin, esta conducta siempre es
dor de un sistema transaccional, con repetitiva, sea para fraudes tradiciona-
los privilegios para eliminar registros o les o informticos. Al nal no hay juez
abrir la puerta a los datos? ms duro que uno mismo.
SISTEMAS 13
en lo relacionado con el acoso en victimizacin, se convierte en un
lnea. Estos resultados tienen sentido objetivo ms apetecido por los ciberde-
si tenemos en cuenta que la poblacin lincuentes, pues al poder trazar al
que ha crecido conociendo internet y detalle sus actividades y perlar sus
las nuevas tecnologas es ms rutinas es posible determinar su perl
escptica frente a lo que encuentran econmico, social, profesional y
en lnea, que aquellos que no estn digital.
familiarizados con las mismas.
Los fraudes dirigidos a los usuarios de
Entrando en materia, desde nuestro tecnologa tienen como componente
observatorio de fraude hemos podido principal aprovechar la conanza
evidenciar cmo se han vuelto ms creciente que experimentamos en las
sosticados los ataques hacia la tecnologas de informacin, pues hoy
poblacin en general. Hace algunos toda nuestra vida est entre dos
aos era muy evidente que los correos aparatos que son el computador y el
electrnicos de phishing buscaban su telfono. Nuestra msica, nuestros
objetivo lo ms directamente posible, intereses, nuestras relaciones, nuestra
al solicitar abiertamente la contrasea informacin, nuestras fotos, nuestra
de acceso, mientras que hoy en da ubicacin, y en algunos casos, hasta
estos correos ni siquiera parecen nuestro dinero pueden estar en esos
estar interesados en ella, sino ms dos aparatos, lo que los convierte en
bien en informacin comn como objetivos de alto valor para escalar
datos de identicacin o georeferen- hacia fraudes ms globales, como,
ciacin. Incluso es ms probable que por ejemplo las corporaciones donde
busquen instalar alguna clase de trabajamos. Y es ah donde toma
malware en el computador o en el sentido el concepto del valor digital
telfono, con miras a monitorear las de una persona: qu hace dentro de su
actividades y/o crear redes zombis compaa, a qu tipo de informacin o
que atacan al unsono como botnets, activos tiene acceso, sumado a saber
una de las armas cibernticas ms si tiene la necesidad y la motivacin
letales debido a su estructura colabo- para cometer un fraude.
rativa.
Las redes sociales juegan un papel
Por supuesto el gran reto lo tiene el clave hoy en da en la preparacin de
usuario comn y corriente, pues cada fraudes, con la entrada del concepto
vez le es ms difcil identicar lo que de OSINT (Inteligencia de fuente
puede ser malware o no; las aplicacio- abierta) que se basa en la perlacin
nes que instala en su telfono por de las personas, a partir de su activi-
ejemplo pueden ser las ms inocentes dad en internet, principalmente en
y no saber cules son sus verdaderas sitios sociales donde publican detalles
intenciones: hemos encontrado apli- de su vida diaria. En internet existen
caciones para encender la linterna del herramientas y personas que cose-
telfono que al instalarse piden chan toda esa informacin para crear
permiso para acceder a la agenda de datos de tendencias en cuanto a
contactos del telfono, lo cual es intereses, informacin demogrca,
absolutamente innecesario. A mismo geogrca y muchas otras que, al nal,
tiempo que el usuario se expone a la facilitan desde el envo de publicidad
14 SISTEMAS
altamente dirigida (marketing) hasta la derechos fundamentales, la promulga-
sosticacin del phishing con datos cin de polticas de prevencin de
bastante especcos que podran fraude y las tcnicas para evitar la
llegar a engaarlo. colusin.
SISTEMAS 15
to tomar acciones legales contra un Por otro lado, todos los das, tanto a
proveedor que ha cometido fraude, ttulo personal como corporativo,
que contra un empleado. producimos demasiada informacin
hacia la red y siempre hay alguien que
En conclusin, no podemos separar el est tomndola para perlar las
fraude que afecta a las personas actividades y conocer a los potencia-
comunes y corrientes, del fraude que les objetivos. Sin embargo, en medio
afecta a las organizaciones. Las herra- de toda la preocupacin que puede
mientas tecnolgicas para ejecutar generar el nuevo mundo interconecta-
diversos esquemas de fraude comple- do en el que vivimos, las soluciones
jos estn a la orden del da y la realidad siguen siendo las ms simples, y estn
es que se pueden conseguir a muy en el sentido comn.
bajo costo en la red cuando se sabe a
dnde buscar.
Juan Carlos Reyes Muoz. Director de la firma Grupo Schart Latinoamrica especializada
en seguridad de la informacin aplicada al fraude, mediante la marca AntiFraude.
Miembro de la Asociacin de Investigadores de Crmenes de Alta Tecnologa
(www.htcia.org), de ACFE (www.acfe.com), auditor lder de ISO 27001 y delegado para el
comit JTC1/SC27 de ISO en representacin de INLAC, con una experiencia de ms de 15
aos en seguridad de la informacin en diferentes instituciones financieras, de seguros, de
servicios y gubernamentales alrededor de Amrica Latina.
16 SISTEMAS
RUEDA DE NEGOCIOS ACIS 2016
EMPRENDIMIENTO E INNOVACIN EN TI
Octubre 26 de 2016
Objetivos
Cronograma
Tendencias 2016
Encuesta nacional de
seguridad informtica*
Retos de la ciberseguridad.
Andrs Ricardo Almanza Junco, M.Sc.
SISTEMAS 19
necesidad de proteger la informacin En este contexto, cada vez ms
es ms relevante. incierto, son necesarios pensamientos
amplios que involucren a los actores y
En esa misma ptica se observan los lleven a pensar en un replantea-
unos ejecutivos de la seguridad ms miento de la proteccin de la informa-
preocupados por utilizar lenguajes cin, sin perder de vista lo ya alcan-
cercanos a la organizacin, para zado, para enfrentar la realidad y el
proveer soluciones que armonicen las contexto en el que el mundo se
relaciones de funcionalidad y desenvuelve.
proteccin, dentro del marco del nego-
cio. Datos generales
Sectores
22 SISTEMAS
cargos en seguridad de la informacin con la tendencia mundial, segn datos
y niveles ejecutivos de la organiza- de la encuesta de Seguridad de la
cin. Este panorama muestra cmo firma PwC [5], en la que el 54% de los
ha ganado terreno la seguridad de la encuestados tiene un responsable de
informacin, dentro de las empresas seguridad a cargo. En Colombia, el
en la realidad colombiana. Ya tiene su 48% dice tener un CISO y el 27% un
propio espacio y madura con el Oficial de Seguridad Informtica. De
tiempo. As mismo, vemos cmo ao esta manera, se ve reflejada la realidad
tras ao la encuesta muestra las dife- global de tener un responsable a cargo
rentes interpretaciones de la seguri- que vele por los intereses relacionados
dad de la informacin en las organi- con la proteccin de la informacin y le
zaciones colombianas. muestre a la organizacin los riesgos a
los que se puede ver expuesta
Top de hallazgos
3. Dentro del conjunto de nuevas
Esta seccin muestra las variaciones actividades realizadas por los respon-
ms importantes de los resultados de sables de seguridad, est velar por la
la encuesta, desde las variaciones proteccin de la informacin personal,
ms positivas, hasta lo que ms toda vez que las regulaciones nacio-
decreci, comparando los resultados nales como la ley 1581 en sus decretos
de este ao con el 2015. reglamentarios as lo exige y cada vez
ms se ven enfrentados a responder
En las tablas se encuentra descrito el por los entes de control en este senti-
tem general, en la primera columna; do. Segn informe de la firma PwC[6],
la segunda columna describe las el cibercrimen crece en un 32%, y uno
opciones y la tercera muestra la de los factores claves est en el robo
variacin con relacin al ao anterior. de informacin personal, razn por la
cual es necesario que las responsabili-
Las mayores variaciones positivas dades del encargado de seguridad
(Tabla 1) estn relacionadas con la proteccin
de la informacin personal, como una
Anlisis y comparaciones de las nuevas responsabilidades de
los encargados de la seguridad
De la tabla anterior se puede extraer lo
siguiente: 4. Segn datos de la encuesta de Ernst
& Young[7], un 42% de los encues-
1. El rol de primer respondiente se tados reconoce los activos de informa-
viene adoptando en las organizacio- cin como una pieza clave, en trmi-
nes para este ao como una de las nos de la proteccin de la informacin,
nuevas responsabilidades de los adems del valor que tienen las
oficiales de seguridad. declaraciones formales entorno a la
identificacin de activos de informa-
1. En Colombia, el rol de Oficial de cin; tendencia que se ve reflejada en
Seguridad Informtica es lo que ms Colombia. En este ao, los encuesta-
predomina en las organizaciones, en dos el 71% de los encuestados reco-
el momento de crear el cargo para un noce la prctica de la formalidad de
responsable de seguridad; coincide una directriz, establecida y reconocida
SISTEMAS 23
Tabla 1
3. Activos de Informacin
Las organizaciones cuentan con declaraciones
formales relacionadas con los activos de 11%
informacin
Noticacin de proveedores 9%
Noticacin de colegas 8%
5. Mecanismos utilizados
Autoridades locales/regionales. 7%
24 SISTEMAS
en la organizacin como un buen cabo por ellos, en la que un 19% de los
ejercicio, para poder gobernar de una encuestados dice tener un SIEM
mejor manera los datos, la informa- implementado completamente en sus
cin, el conocimiento y con ello tener organizaciones para el tema de
mejores capacidades de competencia control. Por su parte, la firma de EY en
en un entorno digital tan cambiante su informe anual, advierte que slo el
como el actual. 21% de los encuestados tiene un SIEM
para monitorear las redes frente a las
5. La cooperacin ha introducido en el anomalas. Esto confirma que en la
mundo de la seguridad una nueva realidad nacional se est viendo a los
dinmica que permite a las organiza- SIEM como un instrumento vlido a la
ciones, de una manera ms consis- hora de pensar en un control que
tente, enfrentar las amenazas de hoy apoye la prevencin de los riesgos
en da. En este ao estos ejercicios se digitales.
ven reflejados a travs de la forma en
cmo se notifican las organizaciones 6. La conciencia de la seguridad es
de los fallos de seguridad. Por un lado, otro de los tems que vari de manera
el 45% de los encuestados reconoce importante este ao para Colombia. El
hacerlo por sus proveedores; el estu- 29% de los encuestados manifiesta
dio indica el fortalecimiento de las que sus niveles directivos entienden y
relaciones con ellos. El 43% seala atienden recomendaciones, en mate-
que se entera de las fallas de seguri- ria de seguridad. Tendencia que se ve
dad por sus colegas. reflejada en el informe de Ciberse-
guridad realizado entre ISACA y
La tendencia global, segn la encues- RSA[8], en el que se reporta que el
ta de PwC [5], muestra los beneficios 36% de los encuestados dice que sus
relacionados con la cooperacin: con miembros de alta gerencia estn muy
los pares de la industria, con la comprometidos con la seguridad. De la
autoridad y con el Gobierno, lo que les misma manera, lo expresa la firma
permite mejorar sus capacidades para PwC en su informe anual [5], en el que,
entender mejor la realidad en la que se cerca de 45% de los encuestados,
desenvuelve el mundo de la ciberse- considera que sus juntas directivas se
guridad. En esta misma perspectiva, encuentran participando en la realidad
los encuestados en Colombia sealan de la seguridad. As las cosas, en
como herramientas de control con Colombia la realidad contempla la un
mayor crecimiento inters por la seguridad, ms all de un
reto tecnolgico y la ven como un
En Colombia las herramientas de aliado en las juntas, que consideran el
control con mayor crecimiento a los trmino de riesgos de informacin,
SIEM (25%), y las herramientas Anti- como una nueva responsabilidad que
DDOS (16%).Se observa un creci- los acerca a la realidad actual.
miento significativo de su uso, frente al
ao inmediatamente anterior. Las Las mayores variaciones negativas
tendencias internacionales mues-tran (Tabla 2)
a los SIEM dentro del espectro, como
lo hace el Reino Unido [7], a travs de Son aquellos criterios considerados
la encuesta de seguridad llevada a este ao por los encuestados, como
SISTEMAS 25
los menos importantes. Su variacin de los ejercicios corporativos de
frente a aos anteriores es negativa. gestin de riesgos. Sorprende el
decrecimiento de esta respuesta, en la
Anlisis y comparaciones que slo el 29% de los encuestados
manifiesta que el ejercicio se realiza
De la tabla anterior vale la pena dentro de la visin corporativa de la
destacar lo siguiente: gestin de riesgos. La tendencia
global, segn la firma PwC[5] est
1. Solo el 39% de los encuestados relacionada con que el 91% de los
manifiesta que sus reas de segu- encuestados manifiesta tener un
ridad poseen recursos definidos entre marco de gestin de riesgos y ve los
uno y cinco, mientras que en el ao beneficios de tenerlos, frente a la
2015 en Colombia, el 64% de los cirberrealidad a la que se enfrentan las
encuestados reconoci esa misma organizaciones.
cantidad de recursos. Los datos
globales muestran una tendencia 3. Cada vez ms los encuestados
contraria, segn datos de la encuesta reconocen el valor de las certificacio-
global del Reino Unido [7]. Lo positivo nes como un plus o mecanismo
de la lectura para este ao est adicional de soporte para validar
relacionado con dos temas. Primero, competencias, a la hora de llegar a los
disminuyen en un 3% los encuestados cargos de seguridad. Por ello, slo el
que manifiestan no tener ningn 19% de los encuestados respondi
recurso dedicado a la seguridad, que dentro de los perfiles existe
reforzado con la tendencia mundial a personal certificado en seguridad de la
tener reas de seguridad, formadas y informacin; en comparacin con el
establecidas. Crecen en un 4% las ao anterior que el 37% manifestaba
reas de seguridad de ms de 15 no poseer ninguna certificacin para
personas y eso est cerca de la desempear el rol relacionado con la
tendencia global cercana al 10%. proteccin de la informacin.
26 SISTEMAS
Tabla 2
Presupuestos de Seguridad
Slo el 25% de los encuestados manifest no conocer o
contar con la informacin acerca de los montos asignados a -17%
la seguridad.
Este ao solamente el 12% reconoce que sus inversiones,
en materia de seguridad de la informacin, estn entre el 0%
y el 2% de los presupuestos de la organizacin, comparados
con el 26% del ao 2015. Es interesante ver la tendencia de -14%
contemplar un recurso nanciero suciente para una
inversin, frente a la proteccin de la informacin.
Este ao, slo el 12% de los encuestados reconoce que sus
presupuestos asignados para la proteccin de la -14%
organizacin, estn por debajo de los US$20.000 dlares
americanos.
Polticas de seguridad
Para este ao, slo el 42% de los encuestados reconoce que -17%
la organizacin posee formalmente una poltica de seguridad
Regulacin digital
Incidentes de seguridad
SISTEMAS 27
encuestados afirmaba que ese era el riesgos de la ciberseguridad como un
valor del presupuesto. Por ltimo, un factor clave, pero se ven poco maduras
12% de los encuestados afirma que el en el sostenimiento de un framework
presupuesto de seguridad asignado de polticas y estn-dares que le
para el ao 2015 estaba por debajo de ayuden en la construccin de un
los $US 20.000 dlares americanos. Al modelo de gobierno y gestin alre-
comparar con los datos de perodos dedor de la seguridad. Una realidad
anteriores, el 25% de los encuestados muy similar es la que plantea la
manifestaba que sus presupuestos encuesta de seguridad realizada en el
asignados estaban en esos rangos. Reino Unido, donde el 72% de los
As las cosas y frente a las tendencias encuestados considera la madurez de
mundiales, tenemos organizaciones sus polticas y frameworks de segu-
ms comprometidas con las inver- ridad no adecuados, y slo un 26%
siones en seguridad de acuerdo con considera maduras sus polticas de
las tendencias internacionales. Segn seguridad de la informacin. As las
la firma PwC[5], el promedio de los cosas, es necesario que las organi-
presupuestos en seguridad crece en zaciones refuercen y redoblen sus
un 24%. De igual manera, al revisar la esfuerzos por mantener sus polticas
informacin del informe de seguridad de seguridad y frameworks, como parte
realizado por la firma ISMG[9], el 57% de sus elementos claves en materia de
indica que sus presupuestos cambia- proteccin de la informacin.
rn y aumentarn y, el 34%, afirma que
se mantendrn estables. En Colom- 6. Resulta interesante este ao
bia, el crecimiento de los presupuestos observar que en la realidad nacional
asignados para este ao, est un 4% slo el 22% de los encuestados
por encima de los $US130.000 dlares manifiesta no estar sujeto frente a una
americanos. regulacin o normativa, en trminos
de seguridad de la informacin,
5. Este ao solo el 42% de los comparado con el ao anterior, en que
encuestados reconoce tener una el 38% de los encuestados manifest
poltica escrita, aprobada por la no estar sujeto. La interpretacin para
direccin e informada a todo el la realidad nacional es ver cmo las
personal, comparado con el perodo organizaciones van entendiendo de
anterior, en que el 60% de los una mejor manera su contexto y cmo
encuestados reconoci esta realidad. las regulaciones nacionales o interna-
Se observa lo contrario en la formalidad cionales les permiten tener una visin
de los procesos de seguridad de la en lo relacionado con la seguridad de
informacin en las organizaciones, si la informacin. Marcos normativos
se reconoce la necesidad por entender como la Ley 1581 o de proteccin de
la seguridad pero, sin el formalismo datos personales, la Ley 1712 o Ley de
que requiere. Tendencia que a nivel transparencia, as como el nuevo
global se mantiene igual como se ve en CONPES de ciberseguridad, son
el informe de Ernst & Young que indica marcos que ponen de manifiesto una
que la madurez de sus encuestados en atencin plena en las organizaciones,
este tema es baja. El informe describe frente a los actuales escenarios tan
que las organizaciones reconocen la exigentes, relacionados con los ries-
seguridad, adems de entender los gos en entornos cibernticos.
28 SISTEMAS
Lo nuevo 2. En la pregunta relacionada con la
responsabilidad en materia de segu-
Esta seccin contempla los nuevos ridad de la informacin, se agrega una
tems de esta versin de la encuesta; opcin, como resultado del estudio del
en este ao no se incluyen sino 2015, donde se evidenci la necesidad
opciones nuevas dentro del cuerpo de de incluirla.
preguntas existentes.
a. Informar a la alta gerencia sobre el
A continuacin se relacionan por avance del programa de seguridad
categora los tems incluidos, y las de la informacin.
grficas muestran los resultados de
las opciones adicionadas. 3. Por ltimo, en la pregunta relaciona-
da con los sectores econmicos, se
La seccin de demografa contempla: adiciono una opcin.
Grfica 5. Demografa
SISTEMAS 29
[3], IBM [3]. Forcepoint[3], estima que cios de inteligencia de amenazas [3],
el negocio alrededor del Ransomware en donde algunas organizaciones van
est en $US325 millones de dlares. ms all de un SIEM y los proveedores
han construido a travs del aprendiza-
Cisco Security [2], considera el je y el Big Data, modelos ms
Ransomware como una tendencia de inteligentes para la deteccin de las
anomalas que debe ser entendida y amenazas de la organizacin
abordada. Los datos de Cisco revelan
que Angler, en un 60% de su distribu-
cin, contena algn tipo de Ransom-
ware y los ingresos totales por tal
concepto son cercanos a los $US34
millones de dlares.
30 SISTEMAS
Grfico 8. Polticas de Seguridad
32 SISTEMAS
Grfico 10. Anomalas
SISTEMAS 33
Grfico 11. Mecanismos de proteccin.
34 SISTEMAS
altas direcciones, en materia de segu- alta direccin atiende y entiende las
ridad de la informacin, como lo mues- recomendaciones en materia de
tra la Grfica 12. proteccin de la informacin, y, si bien
no se involucra, s tiene claro que es
En el eje X se encuentra representado necesario entender los riesgos en
el compromiso de la alta direccin, y materia de seguridad de la informa-
en el eje Y est identificada la respon- cin.
sabilidad de la alta direccin, seguido
de esto estn las zonas definidas las Zona de fatiga de la seguridad: en esta
cuales representan los siguientes zona hay un bajo compromiso y baja
conceptos: responsabilidad de la alta direccin
con relacin a la seguridad de la
Zona de rendimiento y resiliencia de la informacin y los riesgos involucrados.
seguridad, donde el compromiso y la La alta direccin no se involucra en los
responsabilidad de la alta direccin procesos y toma de decisiones sobre
son altas. En esta zona se ha identi- la proteccin de la informacin.
ficado que los directivos de la orga-
nizacin estn involucrados en la toma Zona de receptividad de la seguridad:
de decisiones relacionadas con los En esta zona hay baja responsabilidad
riesgos asociados a la proteccin de la y alto compromiso por parte de las
informacin. altas direcciones de las organizacio-
nes. En esta zona las altas direcciones
Zona de Supervivencia de la segu- lo que hacen es delegar las responsa-
ridad, donde el compromiso es bajo y bilidades a otros, pero s esperan ser
la responsabilidad alta. En esta zona la informados de lo que sucede en mate-
36 SISTEMAS
ciones internacionales inclinan la [4] IBM X-Force Threat Intelligence Report
balanza hacia la seguridad de la 2016. https://securityintelligence.com/
informacin y nos enfrentan a un media/xforce-tir-2016/
panorama todava denso, en materia
[5] The Global State of Information
de ataques informticos.
Security Survey 2016. Turnaround and
transformationinCybersecurity. http://
7. Los estndares internacionales de w w w. p w c . c o m / g x / e n / i s s u e s / c y b e r -
la industria se ven reflejados en security/information-security-survey.html
Colombia en las buenas prcticas en
seguridad de la informacin, De ah [6] The Global Economic Crime Survey
que ISO 27000, ITIL y Cobit se 2016.Adjusting the Lens on Economic
consoliden como marcos para cons- Crime. http://www.pwc.com/gx/en/servi
truir arquitecturas de seguridad de la ces/advisory/consulting/forensics/econo
informacin. Por otro lado, los parti- mic-crime-survey.html
cipantes reflejan con nfasis la nece-
[7] Information Security Maturity Report
sidad de utilizar algn marco de refe- 2015 Current information security practice
rencia, que les permita construir mo- in European organizations. http://clubciso.
delos adaptados a las necesidades de org/quotable-statistics/
las empresas.
[8] State of Cybersecurity implications for
Referencias 2016 An ISACA and RSA Conference.
http://www.isaca.org/pages/cybersecurity
[1] Los cuatro cuadrantes de Stephen -global-status-report.aspx
Covey. http://www.zetasoftware.com/
2015/02/administracion-del-tiempo-los-4- [9] 2016 Enterprise Security Study How
cuadrantes-de-stephen-covey/ . Prepared Is Your Organization to Defend
againsttoday's Advanced Threats?
[2] 2016 Global Threat Report Forcepoint. Information Security Media Group.
https://www.forcepoint.com/resources/whi http://www.bankinfosecurity.com/whitepa
tepapers/forcepoint-2016-global-threat- pers/2016-enterprise-security-study-w-
report 2499
http://www.isaca.org/pages/cybersecurity
[3] CISCO 2016. Informe anual de -global-status-report.aspx
seguridad. http://globalnewsroom.cisco.
com/es/la/press-releases/informe-anual- *Realizada por la Asociacin Colombiana
de-seguridad-de-cisco-revela-una-dis- de Ingenieros de Sistemas (Acis).
1239705
Andrs Ricardo Almanza Junco, M.Sc. CISM, ITIL, ISO 27001, LPIC1. Ingeniero de
Sistemas, universidad Catlica de Colombia. Especialista en Seguridad de Redes de la
Universidad Catlica de Colombia. Mster en Seguridad Informtica de la Universidad
Oberta de Catalua, Espaa. Codirector de las JornadasInternacionales de Seguridad
Informtica. Coordinador en Colombia de la Encuesta Nacional de Seguridad Informtica.
Coordinador del grupo CISO's-COLy CISO's-LATAM en Linkedin.
SISTEMAS 37
Cara y Sello
Fraude informtico y el
contexto colombiano
El ritmo que acompaa los avances tecnolgicos en trminos
de fraude, no es el mismo de los controles ni de las alertas ni
de la cultura de prevencin y, menos an, del marco jurdico
que los cobija.
Sara Gallardo M.
El fraude informtico avanza a un ritmo rece no tener lmites. Creo que esta-
que supera todos los controles, las mos cerca de algn tipo de Pearl
alertas, la cultura de prevencin y ni Harbor (1941). Una suerte de evento
qu decir del marco jurdico que lo digital que acabe con numerosas
rodea. Entorno que, segn los futur- compaas. Hasta que eso no ocurra,
logos tecnolgicos, no tiene nada de la gente no le prestar suciente
halagador. atencin a la seguridad informtica.
Dicho evento podra suceder en los
Las predicciones de Scott Klososky, prximos cinco aos, le dijo al diario
una de las voces ms autorizadas en El Tiempo.
tales vaticinios, son para preocuparse
y hacer un llamado a prestar ms De ah la necesidad de analizar con
atencin a un agelo mundial que pa- distintos expertos las condiciones del
38 SISTEMAS
presente, las tendencias y hasta el do, directora del Departamento de
pasado. Hace unos meses el Depar- Ciencias Contables CIJAF- y Luis
tamento de Defensa de los Estados Eduardo Daza, especialista en fraude
Unidos liber el documento denomina- informtico, del Departamento de
do Seguridad de los sistemas compu- Ciencias Contables de la Universidad
1
tarizados , que conservaba como Javeriana, asistieron puntuales a la
clasicado desde el 11 de febrero de cita.
1970. Es decir, un documento de hace
46 aos. Al revisarlo, se detect que, La idea es que profundicemos en las
en trminos de los controles, pareciera diferencias que rodean esa tendencia
que se hubiera quedado congelado en que est afectando y dando vueltas
el tiempo, lo que me produjo la siguien- entre las organizaciones y el pblico
te reexin: -No hemos cambiado ni general: el fraude informtico, el
evolucionado?, manifest Jeimy J. ciberdelito y las otras modalidades del
Cano M., director de la revista y cibercrimen, puntualiz Jeimy J.
moderador de la reunin convocada Cano, para dar comienzo al debate
con tales nes. con la primera pregunta:
1
Department of Defense (1970) Security controls for Recaredo Romero
computer systems (U). Report of Defense Science Director Regional para Amrica Latina
Board Task Force on Computer Security. Febrero. de la
Recuperado de:
http://seclab.cs.ucdavis.edu/projects/history/paper Divisin de Investigaciones y Disputas
s/ware70.pdf KROLL
SISTEMAS 39
El delincuente informtico es el perpe- te tendremos oportunidad de precisar.
trador y el fraude informtico, la con- A veces, es muy difcil poder identicar
ducta. Y me atrevera a orientar la el delincuente informtico, principal-
pregunta a la funcin que le damos al mente por las caractersticas de anoni-
fraude informtico. Existe una larga mato de su actividad. El segundo
variedad de deniciones, una de ellas aspecto es diferenciar entre fraude y
referida a quien usa el engao a travs delito informtico. Este ltimo est
de medios informticos. Esa sera una tipicado por cada pas como una
diferencia entre el fraude informtico y conducta punible. En otras palabras,
el delito informtico. El primero, es un hay situaciones que aunque son
delito especco y el segundo contem- fraude, no estn contempladas como
pla una variedad de acciones ilegales, delito. De ah algunos asuntos en
que no son necesariamente fraude. Lo nuestra legislacin colombiana, que
que quiere decir que el delito informti- aunque no son tipicadas como delito,
co es un concepto ms amplio que el s caben en la categora de fraude.
fraude informtico. Para dar un ejemplo muy sencillo, en
Colombia, la evasin tributaria no es
Luis Eduardo Daza Giraldo un delito, es una conducta reprochable
Especialista en Fraude Informtico desde el punto de vista administrativo.
Departamento Ciencias Contables Eso mismo pasa en el tema informti-
Ponticia Universidad Javeriana co, hay unas conductas especcas
El delincuente informtico, es el tipicadas en la ley como delito infor-
sujeto, el perpetrador, tambin identi- mtico y otras que no alcanzan a
cado en otro tipo de delitos y fraudes. quedar ah, que uno podra catalogar
Es esa persona envuelta en los gran- como fraude informtico.
des mitos y realidades que ms adelan
40 SISTEMAS
Natalia Baracaldo ellos protegen la informacin ya sea
Directora Departamento Ciencias del delito informtico o de malas
Contables CIJAF- prcticas en su contra. Pero, cualquier
Ponticia Universidad Javeriana persona puede cometer algo en contra
Mi respuesta la oriento desde la de la informacin y ni siquiera est
jurisdiccin actual. Con el fraude nan- tipicado ni siquiera existe. De ah que
ciero, sucede lo mismo. En algunos no podamos referirnos a un delincuen-
pases est tipicado en los cdigos te informtico.
penales y en otros no es as. En
Colombia existe una normatividad Jeimy J. Cano M.
especca, que ayuda a tipicar Director Revista Sistemas
especcamente los temas relaciona- ACIS
dos con delitos informticos. Sin em- Este tipo de conductas (fraude
bargo, puede haber conductas enmar- informtico) estn tipicadas en la
cadas en asuntos de fraude, tales legislacin colombiana? Hay
como el engao, que ni siquiera casos con fallos concretos? De no
pertenecen a la categora de delitos ser as, cul es la razn?, por
informticos. De ah que la respuesta qu?, cules son las carencias
sea muy amplia y dependa del contex- para que no lo estn?
to desde el cual se mire. En nuestro
pas, se trata de un asunto incipiente, Natalia Baracaldo
muy nuevo y prcticamente descono- En nuestro pas, la tipicacin de los
cido. Quienes estn ms salvaguarda- delitos no es un tema exclusivo del
dos estn en el sector nanciero. All ambiente informtico y considero que
es donde existen las mejores medidas, el Cdigo Penal se queda corto en
para cuidar ese precioso activo que es muchsimos aspectos. No sabra decir
la informacin. En ese orden de ideas, si por quienes emiten este tipo de
SISTEMAS 41
Luis Eduardo Daza seala las nueve categoras de delitos informticos tipificadas en
la ley colombiana.
42 SISTEMAS
adems se preguntan: qu hago con caso, por ejemplo, de un fraude nan-
este proceso?, a qu investigador se ciero a travs de una tarjeta de crdito,
lo asigno?. En otras palabras, se trata si la entidad bancaria devuelve el
de un tema que genera angustia y, por dinero al tarjetahabiente, hasta ah
lo tanto, deciden trabajar sobre lo llega el asunto. Se cometi el delito,
conocido y aplazar lo dems. Esta pero no se hizo nada para iniciar una
situacin explica por qu se conocen accin legal, porque la vctima (el
muy pocos fallos o condenas. Su tarjetahabiente) al nal no sufri una
complejidad y la falta de preparacin prdida. Tal hecho, por los montos
tcnica en lo penal la determinan. individuales menores, no incentiva los
procesos penales y obstaculiza su
Sara Gallardo xito de investigacin y sancin.
Existen cifras sobre el porcentaje
de cuntos casos de los que mane- Recaredo Romero
jan los scales, corresponden a Con relacin a si est o no tipicado el
delitos informticos? fraude, me gustara medir el vaso,
medir el hielo. En otras palabras, la
Luis Eduardo Daza tecnologa va a una velocidad muy
Hay algunos informes con bajos distinta a la de las normas. Eso sucede
resultados nales de productividad. En en la normatividad nacional e interna-
las noticias se informa sobre algunos cional. El fraude informtico no est
casos muy connotados acerca de tipicado en la ley. Algunas conductas
acciones de hacking, pero son la s lo estn, con las cuales en un caso
excepcin. Y, lo grave de todo esto, es de fraude informtico, se podran
que la gran mayora de delitos inform- apalancar la investigacin y el proce-
ticos quedan en la impunidad. En el so.
Recaredo Romero indica que la tecnologa va a una velocidad muy distinta a la de las
normas y, por tal razn, el fraude informtico no est tipificado en la ley.
SISTEMAS 43
Segn Recaredo Romero (derecha), el fraude no est tipificado, pero se le puede
conectar con delitos informticos que s lo estn.
44 SISTEMAS
tas bancarias, claves de acceso a ransomware, o secuestro de informa-
tarjetas, entre otros aspectos, tienen cin; una tendencia global que est
una alta demanda en el mercado afectando tambin a Colombia. Esta
negro. Se trata de actividades de bajo es una actividad que va a ser difcil de
riesgo y alta retribucin para el delin- contrarrestar, mientras existan empre-
cuente, lo cual incentiva la actividad sas y personas dispuestas a pagar el
ilcita. La transnacionalidad de esas rescate. Frente a lo que se ve a futuro,
tipologas, dicultan investigar el delito Internet de las cosas tendr gran
informtico. Dentro de las tendencias, incidencia, por la interconexin al gran
estamos ante unos encadenamientos software y el boom de los bienes
productivos, por llamarlos de alguna electrnicos; los carros, las casas y los
manera, donde tenemos muchos sistemas del hogar estarn conecta-
eslabones que participan en la cade- dos. As que podr resultar lo mismo
na; desde los desarrolladores de los que estamos viendo ahora, el secues-
softwares maliciosos, hasta los que tro de informacin, a cambio de un
capturan datos, los que los comerciali- rescate, adems de pasar a metodolo-
zan y los que hacen uso de esos datos gas todava ms sosticadas.
para obtener un benecio econmico.
Entonces, tenemos una multitud de Jeimy J. Cano
actores ubicados en distintos pases. Adicionalmente al planteamiento de
Afortunadamente, la colaboracin Recaredo Romero, el ransomware
judicial es creciente y est aumentan- ha sufrido una evolucin. Ya no slo
do la ecacia en la persecucin de se pide rescate, sino que con el
estos delitos, la cual ha sido tradicio- pasar del tiempo sin pagarlo, los
nalmente muy baja. Algo que se ha atacantes comienzan a borrar los
vuelto tremendamente frecuente y que archivos retenidos. En otras pala-
se espera siga en aumento es el bras, queda capturado el equipo.
SISTEMAS 45
Luis Eduardo Daza (segundo de derecha a izquierda) advierte sobre la dificultad para
medir la accin criminal en la red.
46 SISTEMAS
denen ciertas categoras y una dencias, las cuales permiten medir,
metodologa de estimacin para cada segn sus metodologas, en dnde se
una. De esta forma, la empresa o puede ir clasicando y midiendo el
persona que fue vctima del ciberdelito delito informtico y qu tendencia
nanciero maniesta la modalidad, el marca. KPMG vena haciendo una
nmero de incidentes, el monto encuesta de fraude en las empresas
involucrado y dems caractersticas. para los aos 2011 y 2013. Algo
Pero no hay de hacking. interesante es que para el 2013,
incluy la variable, cibercrimen. Esto
Y esa, en mi opinin es una de las es muy valioso porque hace una
conductas, para llegar a la pregunta primera medicin en las empresas
sobre Cules son las ms habitua- colombianas. Lstima que no apareci
les? Sin tener una cifra concreta, creo la versin 2015 para comparar dicha
que el hacking es una de las conductas medicin. Esperbamos que fuera
ms habituales en ese tipo de delitos, cada dos aos, pero KPMG no lo hizo.
pero no se puede medir exactamente. No s si lo estarn pensando hacer o
Es como hablar de otros fenmenos retomar. El tema de estadsticas o
como el narcotrco, hay cifras, hay medicin de actividades ilegales, en
datos, hay estimaciones, pero no hay este caso los delitos informticos,
una cifra exacta. No hay una medicin resulta muy complejo porque se trata
exacta. Se trata de hacer ejercicios o de medir algo que sabemos que
aplicar modelos para medirlo. Noso- existe, pero es clandestino.
tros desde la academia qu hace-
mos? Revisamos y seguimos estads- Natalia Baracaldo
ticas que publican algunas rmas La rma KPMG ha venido haciendo lo
como KROLL, KPMG y PriceWC que que ellos denominan Encuesta de
se aventuran a medir el fenmeno. Y fraude, versiones 2011 y 2013. En la
ah lo que uno ve es que hay unas ten- primera, realizaron mediciones rela-
SISTEMAS 47
Por primera vez en la historia de esta seccin de la revista, ninguno de los invitados a
la reunin era ingeniero de sistemas.
cionadas con el rbol del fraude que el cibercrimen, pero s fueron utiliza-
propona tres categoras y en sta das herramientas informticas. Es
medan impactos de corrupcin, importante entonces, vericar la inci-
malversacin de activos, e informa- dencia que tiene el tema de lo inform-
cin nanciera fraudulenta. En la tico. Las cifras de lo que propone
encuesta del ao 2013, contemplan la KPMG en su encuesta versin 2013,
ramicacin del cibercrimen, en donde es que el 23% de los ataques cibernti-
entran las conductas a las que nos cos, obedece a deslealtad de emplea-
hemos referido. En ese estudio de dos. Es decir, que en ese porcentaje,
2013 vale la pena destacar que el se estn gestando desde el nivel
impacto econmico de estos actos ocupacional y personas dentro de la
vandlicos est representado en una organizacin, fraudes relacionados
cifra cercana a los 550 millones de con el cibercrimen. All hay otras cifras
dlares, sin tener en cuenta lo no importantes de mencionar, como que
cuanticado. De dicha encuesta sale el 39% de los ataques cibernticos
el cibercrimen. En el ao 2011, el valor fueron detectados de manera acciden-
total de los fraudes cuanticados fue tal. Digamos que en esa cifra, se
de 950 millones de dlares; para el ao mencionan dos cosas, el impacto o la
2013, la cifra de lo cuanticado incidencia de cmo se detectaron
ascendi a 3.600 millones de dlares. ataques cibernticos. No es comn
Sin embargo, no quiere decir que en que los delitos informticos se denun-
ese lapso hubiesen ocurrido esos cien a travs de los canales organiza-
fraudes. Ms bien, es que se venan cionales, obedece ms a un tema de
gestando y lo que sali a la luz en esos accidente -como veamos en noticias
perodos, fue lo que vena de atrs. recientes- a que la persona tuvo mala
Por ejemplo, Interbolsa y Saludcoop, ortografa o escribi mal el password.
para citar algunos. Tales casos no Se podra decir entonces que no hay
fueron especcamente gestados por controles en la tecnologa de informa-
48 SISTEMAS
cin, a travs de un canal de denun- dores interesados en vulnerar u
cias. En los ataques cibernticos, no obtener benecios de la compaa.
es efectivo un canal de denuncias para Dentro del mbito interno de las
detectarlo, lo cual es muy preocupan- empresas, yo dira, que los fraudes se
te. Incluso, estn las cifras, del Ras- pueden dar en todos los niveles, desde
mussen College (2012), las cuales la alta direccin, digamos, desde un
sealan que el delito ciberntico ha nivel directivo y medio, hasta un nivel
venido creciendo tanto en los ltimos netamente operativo. De qu depen-
aos, que llegar un momento, en el de? Segn la teora general del fraude,
cual tenga muchsima ms incidencia un enfoque tradicional de nales de los
que el narcotrco, la trata de perso- aos 60 propuesto por Donald Cres-
nas u otro tipo de delitos y ante la sey, los funcionarios cometen fraude
opinin pblica sean ms graves. por motivacin, oportunidad o raciona-
lizacin. Sin embargo, luego se aade
Jeimy J. Cano el concepto de la capacidad a estos
Existe un modus operandi del tres elementos. Sin duda, es un
defraudador informtico? Cules aspecto fundamental en este tipo de
podran ser los sntomas que reve- conductas asociadas a los delitos
len un posible fraude informtico? informticos, porque la capacidad del
sujeto determina el alcance que pueda
Luis Eduardo Daza tener para acceder a la informacin o
En buena parte de estos asuntos datos. Entonces, dependiendo de la
aplica la teora general del fraude. El modalidad del fraude de que estemos
modus operandi del defraudador se hablando se pueden identicar
presenta interna y externamente, diferentes perles y modos de actuar.
hechos que coinciden con la teora del Por ejemplo, un alto directivo tiene
fraude en general. Es decir, afuera de mucha ms capacidad de acceso a
las organizaciones estn los defrauda- cierta informacin, que muchos otros
Jeimy J. Cano (fondo) indaga sobre el modus operandi del defraudador informtico.
SISTEMAS 49
funcionarios de la empresa no lo tie- la noche, o en horarios no habituales o
nen. Hay muchos altos directivos que en nes de semana; relaciones muy
tienen acceso a todo. Algunos, por cercanas con ciertos proveedores o
buena prctica, renuncian a dichos clientes. Yo aplicara la teora del
privilegios y dicen, yo no quiero tener fraude. Los sntomas son esos com-
claves de nada, yo no quiero tener portamientos inusuales, son aquellas
acceso a ningn sistema, a m conductas que podran ir descubrien-
psenme la informacin requerida. do ese tipo de fraude, segn el rea de
En cambio, hay otros funcionarios que desempeo laboral o funcional de la
su capacidad es limitada al nivel de persona. Sin duda, hay que volver a
acceso que se haya jado segn las poner la lupa en aquellas personas
polticas o protocolos de seguridad. que tienen cierta capacidad y adems
Digamos, por ahora, que diferenciar el estn ubicados en reas crticas o de
acceso a los sistemas de informacin alto impacto. Porque cada categora
es una de las buenas prcticas que de fraude tiene sus propias condicio-
existen porque delimita la capacidad y nes.
establece perles diferentes.
Natalia Baracaldo
Cmo se ven los sntomas? Tambin KPMG tiene en cuenta una tipicacin
yo dira, hay que aplicar la teora dentro de su nuevo rbol de fraude: la
general del fraude. Cmo sabe uno piratera, los accesos no autorizados y
que de pronto alguien est involucrado el vandalismo. En el tema de piratera,
en ese tipo de fraudes? Hay que creo que todos nos hemos hecho una
revisar los temas y las conductas idea desdibujada, desde el seor que
personales; por ejemplo, los cambios est en el mercado informal o que
repentinos o injusticados de estilo de quienes la realizan manejan unos
vida, aquellas personas que se perles muy bajos. Puede que sea esa
quedan siempre hasta altas horas de la lnea nal de toda la cadena, pero la
50 SISTEMAS
verdad, es que en trminos de pirate- le proponen al amigo. Un caso muy
ra, todo obedece a grandes cabezas, sonado el del tesorero de Bavaria,
a grandes corporaciones. Si miramos quien cometi uno de los actos de
el tema de la msica, hoy en da fraude nanciero de miles de millones
existen plataformas como Napster, o de pesos, de mayor repercusin en
Spotify, que se han visto inmersas en nuestro pas, hace aproximadamente
temas de piratera, en trminos de ocho aos. Por otro lado, los robos de
derechos de autor. Desde la ptica en identidad, tambin a travs de acce-
que se mire es necesario hacer una sos abusivos a la informacin o a
diferenciacin. Si se trata de la repro- travs de las pginas de internet con
duccin no autorizada, piratera hecha las entidades nancieras. Y por ltimo,
por una organizacin grande o si se podemos hablar de un tema de vanda-
reere a distribucin, la cual cae en lismo, donde apenas voy a mencionar
mercados ms oscuros, densos y los temas de suplantacin de destruc-
sobre los que el control nalmente se cin de la informacin y de software
pierde. Los accesos no autorizados, malicioso. En ese ambiente es posible
podran darse directamente en las encontrar personas muy capaces, a
organizaciones. Por ejemplo, con los veces ni siquiera profesionales, pero s
accesos abusivos a sistemas inform- muy hbiles con los asuntos de
ticos de las entidades. Por ejemplo, la sistemas. Particularmente, participo
persona que su puesto de trabajo era en investigaciones de fraude nancie-
en el rea contable y luego pas a ro, donde uno se ve inmerso en
tesorera, a quien se le presenta una escenarios con personas discapacita-
necesidad familiar y ve la oportunidad das o mujeres embarazadas.
de cometer un acto ilegal, en el marco
de un acceso no autorizado. Cul Recaredo Romero
sera el modus operandi de la perso- A la hora de revisar el modus operandi
na? Ellos lo hacen una vez, dos veces para establecer el perl del perpetra-
y se dan cuenta que lo pueden repetir y dor, es oportuno diferenciar entre el
Recaredo Romero (derecha) explica las diferencias que rodean a los actores internos
y externos, en trminos del fraude informtico, dentro de una organizacin.
SISTEMAS 51
actor interno y el externo. Y dentro de cionando. Se ha pasado del golpear y
los actores internos, aquellos que correr al inltrar y permanecer. Una
actan de manera maliciosa y los que medida de proteccin de uso creciente
son negligentes. Al contrario de lo que en las organizaciones es la gestin de
pudiera pensarse, un nmero signi- incidentes de seguridad informtica
cativo de incidentes de seguridad con agentes inteligentes. Estos agen-
informtica son generados por actores tes ayudan a detectar incidentes o
internos. Es importante fortalecer la alertas en tiempo real y proporcionan
conciencia de seguridad informtica soluciones inmediatas en forma auto-
en los empleados y hacer que todo el mtica para controlar los incidentes.
mundo sea responsable de crear un
entorno seguro. Los empleados con Jeimy J. Cano
escasa cultura de seguridad, aquellos En un mundo digitalmente modi-
que por desinformacin o porque no cado como lo establecen los acad-
les gusta la inconveniencia que genera micos Michael Porter y James E.
2
la seguridad e intentan evadir las Heppelmann (2015) la seguridad y
polticas de la empresa, facilitan el control se convierten en un
mucho la actuacin de los hackers. El elemento clave que genera valor a
factor humano es usualmente el los productos y servicios. En este
eslabn dbil en cualquier programa sentido, qu tipos de controles se
de seguridad informtica. Respecto a deben tener en cuenta para prevenir
los actores externos, nos encontramos el fraude informtico? Son los
los hackers criminales, los cuales mismos que se aplican en seguri-
buscan generalmente un benecio dad de la informacin o como
econmico, los hacktivistas, cuyo controles generales de TI?
propsito es principalmente generar
dao o avergonzar a la vctima, y los
hackers patrocinados por gobiernos. 2
Porter, M. y Heppelmann, J. (2015) How Smart,
Es importante tener presente que las connected products are transforming companies.
tcticas de los hackers han ido evolu- Harvard Business Review. Octubre.
52 SISTEMAS
Natalia Baracaldo dad, las empresas no estn obligadas
En mi concepto, el tema del control a tener unos sistemas informticos
tiene que analizarse como un todo. El muy fuertes. En las empresas de
control interno es un proceso organi- familia, las pymes y las microempre-
zacional y existen los controles que sas, piensan que el riesgo informtico
pueden ser compartidos. Por ejemplo, ms grande es un virus que afecte el
al modelo COSO, relacionado con el computador. Tales compaas no
control interno, la organizacin para cuentan con un back-up de la informa-
cumplir sus objetivos debe determinar cin. Cul es el tema crucial? Regu-
los mbitos de cumplimiento, nancie- lacin, porque las empresas no tienen
ro y operativo. Lo informtico est la obligatoriedad en Colombia de
implcito en los tres. En la Ley Sarba- contar con un sistema de informacin
nes Oxley, en el ao 2002, posterior a fuerte; ni desde la seguridad de la
fraudes nancieros, en la seccin 404 informacin ni desde el fraude infor-
de Control sobre informacin nancie- mtico. Dnde es palpable el tema
ra, se obliga a que las organizaciones del fraude informtico? En las grandes
contemplen un control interno sobre organizaciones con prcticas de
sta. Aunque all no se est hablando gobierno corporativo y de control
especcamente de fraude informti- interno. Tales empresas comienzan a
co, s vemos la necesidad de que tener dependencias antifraude. Y
tengan controles internos de tales cul es el porcentaje de estas compa-
caractersticas. En ese orden de ideas. as en el pas? Un porcentaje muy
qu efecto tiene esto en el mbito pequeo.
colombiano? Pues que eso va aplicar
para aquellas empresas colombianas Recaredo Romero
que coticen en bolsa. Pero cuntas Las bases y los conceptos bsicos son
empresas colombianas cotizan en los mismos. Pero s hay algunos
bolsa? Un mnimo porcentaje de la matices dentro de la seguridad infor-
economa. Es decir, que por normativi- mtica, donde es importante un grado
SISTEMAS 53
Recaredo Romero (derecha) dice que no hay sistemas de proteccin infalibles.
54 SISTEMAS
Luis Eduardo Daza dad de la informacin es cada vez ms
Parto de una analoga. El tema de los restrictiva para los accesos a redes
controles es similar a los cachos o a sociales e internet.
la indelidad. No importa cuntos
controles usted coloque, si de verdad Jeimy Cano
una persona tiene la intencin de ser Entonces, la cultura es un control?
inel, lo va a hacer. Esa persona
buscar muchas maneras para lograr- Luis Eduardo
lo. Las organizaciones, los auditores, La cultura se vuelve en una forma
las reas de riesgo, siempre estn complementaria del control. Volviendo
buscando imponer o vericar el a la indelidad, si en mi casa me
cumplimiento de los controles y ms ensearon a respetar, a decir la
controles, para minimizar el riesgo. verdad, a ser honesto, etc., etc., pues
Esa es una de sus tareas. Y se con- al nal seguramente no voy a caer en
vierte en un crculo vicioso. En mi ella. Y pasa lo mismo en las organiza-
opinin, la solucin no est en enfocar- ciones. Si la cultura dentro de la
se en esa direccin. El reto est en empresa es relajada, vulnerable y no
crear una cultura y tener en cuenta los est bien cimentada, si los accesos
cambios generacionales. Por ejemplo, contemplan nes personales y no
hoy una persona de las ltimas gene- institucionales, hay riesgo. En muchas
raciones, millenials, es quien dentro de ocasiones la informacin de algunas
una organizacin necesita estar cone- empresas tiene niveles muy altos de
ctado con el mundo o por lo menos con condencialidad, es decir, no es
sus contactos. El mundo no tiene posible compartirla ni con la familia.
sentido si no es globalizado e interco- Hace poco supe de un atraco en un
municado. Esto es muy importante hoy banco del pas, porque un empleado
en las organizaciones, porque la de esa ocina divulg fotos en sus
tendencia en los controles a la seguri- cuentas personales de redes sociales
SISTEMAS 55
El uso de las redes sociales y los smartphones, de acuerdo con Natalia Baracaldo,
pueden ser la mayor fuente de riesgo.
y con esa informacin los delincuentes atencin, toda vez que su uso es
supieron dnde estaban las bvedas o extendido y cada vez somos ms
caja fuerte y la ubicacin. Se trata de dependientes de ellos.
un tema de cultura y un reto generacio-
nal. Natalia Baracaldo
En escenarios en perspectiva, el uso
Jeimy J. Cano M. de redes sociales, smartphones,
Qu tendencias futuras se ven en entornos a los que nos hemos vuelto
el fraude informtico? Se apalan- adictos, esclavos, pueden ser la mayor
can en las tendencias de la delin- fuente de riesgos en los sistemas de
cuencia digital moderna? delitos informticos. En sentido
contrario a tal perspectiva sobre el
Recaredo Romero futuro del delito informtico, los temas
Algunos ejemplos ya los hemos de piratera tienden a disminuir, por-
anotado. Agregar que crecen las que hoy se han creado empresas para
amenazas a los telfonos inteligentes. descarga de msica, pelculas, videos,
Los dispositivos mviles actuales etc. Ahora las personas tienen la
contienen mucha informacin perso- msica en sus mviles, sin pagar ni
nal y cada vez ms son objeto de exponer los equipos a virus. Esto
ataques. Por ejemplo, hay aplicacio- tambin depende de la jurisdiccin. En
nes que camuan en juegos aparente- China, en Asia se tipo de aplicaciones
mente inofensivos que posteriormente no se pueden tener.
descargan un componente malicioso.
Las vulnerabilidades siguen siendo Luis Eduardo Daza
frecuentes en Android, el sistema La tendencia de la delincuencia
operativo ms utilizado del mundo, a informtica va en dos vas. Una, la
pesar del lanzamiento de nuevas denominara como la irreverencia o el
versiones que ponen nfasis especial irrespeto al status quo y est basada
en la seguridad. Sin duda, los telfo- en tecnologa. Es decir, con la apari-
nos inteligentes son un rea de cin de ciertos fenmenos como la
56 SISTEMAS
economa colaborativa hemos cam- crecientes e infortunadamente no
biado los principios de riqueza que ya existen mtodos infalibles de protec-
no estn en la cantidad de propieda- cin. No obstante, podemos mitigar en
des, sino en la facilidad para acceder a forma signicativa el riesgo de fraude y
bienes o servicios, apoyados en los otros riesgos informticos mediante la
desarrollos tecnolgicos. Algunos implementacin de estrategias ade-
ejemplos notables de esta nueva cuadas orientadas a prevenir la ocu-
forma de acceder a la economa rrencia de incidentes y a responder de
colaborativa o sharing economy es manera rpida y efectiva cuando estos
Uber Airbnb. El caso de Uber es muy suceden. Defender el permetro sigue
signicativo para entender cmo este siendo necesario, pero no es sucien-
negocio, basado en una plataforma te. Un buen programa de seguridad
tecnolgica desarrolla un servicio de informtica requiere prestar atencin a
transporte sin tener la propiedad de un estos tres pilares fundamentales:
solo vehculo; esto se ha convertido en personas, procesos y tecnologa.
todo un reto para los taxistas tradicio-
nales, autoridades, usuarios y otros Natalia Baracaldo
jugadores. Para volver a la respuesta, Queda de maniesto que en todos los
cito este ejemplo para ilustrar que los sectores de la economa, el ciberdelito
negocios lcitos hoy no tienen fronte- debe ser contemplado como un riesgo,
ras, pero al mismo tiempo las organi- frente al cual se debe dar una respues-
zaciones criminales y ciberdelincuen- ta, que desde mi experiencia debera
tes se aprovechan de las mismas ser la mitigacin; lo mejor en materia
ventajas tecnolgicas. de mitigacin es la imposicin de
controles, los cuales deben formar
La segunda tendencia la podra deno- parte de la cultura organizacional. Es
minar como la asimetra regulatoria. importante que las empresas y hasta
Es decir, los ciberdelincuentes saben los ciudadanos del comn sean
perfectamente que en la red tienen un conscientes sobre cmo el conoci-
panorama inmenso, casi ilimitado, de miento y la prevencin en estos temas,
posibilidades para reali-zar activida- se vuelve un arma para combatir los
des que resultan claramente ilegales delitos cibernticos.
segn las normas penales de cada
pas. Sin embargo, la red no tiene una Luis Eduardo Daza
jurisdiccin penal especca. Esta Para concluir, quisiera decir que los
situacin es aprovechada por los ciberdelincuentes se aprovechan del
delincuentes para favorecer sus anonimato que se puede dar en la red
intereses y evadir las posibles accio- y tambin saben de las debilidades
nes legales que debieran asumir. tcnicas de las autoridades para
investigar estas conductas. Por lo
Conclusiones tanto, debemos asumir una gran
responsabilidad en el manejo de
Recaredo Romero nuestros propios datos y cuidar la
El mundo est cada vez ms interco- informacin que manejamos de las
nectado y dependemos de la tecnolo- empresas o negocios a nuestro cargo.
ga en los negocios y nuestra vida En cuanto a los delitos informticos en
cotidiana. Esto nos expone a riesgos las empresas, se requiere un trata-
SISTEMAS 57
miento con enfoque basado en en su estructura por el avance tecnol-
riesgo para distinguir mecanismos gico y de comunicaciones, los cambios
de prevencin y controles acordes culturales de las personas que llegan al
con el nivel de riesgo identicado. mundo laboral y los tipos de controles,
Por ltimo, las organizaciones segn el diferente rol de sus emplea-
deben tener en cuenta los cambios dos.
58 SISTEMAS
Uno
Fraude informtico,
una amplia mirada
Diferencias de conceptos e implicaciones entre fraude,
crimen ciberntico y otros.
Joshsua Gonzlez
Introduccin ciberespaciales del mismo pas, define
el ciberespacio como el dominio que se
En la actualidad, simplificamos nues- caracteriza por el uso de la electrnica
tras expresiones sobre el mbito y del espectro electromag-ntico para
informtico, reducindolas a la prepo- almacenar, modificar e intercambiar
sicin ciber (cibercrimen, ciberte- datos, mediante sistemas de redes e
rrorismo, ciberguerra, cibercomercio, infraestructuras fsicas. Tiempo des-
cibereducacin), cayendo en una pus, El Departamento de Defensa (en
definicin utpica. El Departamento de publicacin junto al organismo de
Defensa de los Estados Unidos define Operaciones Conjuntas, el 17 de sep-
el ciberespacio como el entorno terico tiembre 2006, incorporaron un cambio
en el que se comunica la informacin el 22 de marzo de 2010), define el
digitalizada, a travs de redes infor- ciberespacio como un mbito global en
mticas. Por otro lado, la Estrategia el entorno de la informacin. Se trata
Nacional Militar para operaciones de la red interdependiente de infraes-
SISTEMAS 59
tructuras tecnolgicas de la infor- ya existentes, con un vector diferente.
macin, incluida Internet, redes de La delincuencia informtica es conocida
telecomunicaciones, sistemas infor- hoy en da como un crimen o delito que
mticos y procesadores embebidos. utiliza ordenadores, dispositivos mvi-
Tales medios utilizados en el ciberes- les, redes y computadores entre otros.
pacio como lo son la electrnica y el Sin embargo, hay tres hechos distintos
espectro electromagntico para alma- de estos crmenes, donde los equipos
cenar, se enfocan en acciones como informticos tienden a ser un objetivo,
modificar e intercambiar datos, por un arma, o simplemente un facilitador
medio de los sistemas en red. Las del acto.
operaciones en el ciberespacio em-
plean las capacidades de este medio, En el primer caso, los sistemas
principalmente para lograr dichos informticos son el objetivo del delito y
objetivos y contemplan operaciones de foco de actividades tales como robo,
redes informticas y actividades para destruccin, alteracin de la informa-
operar y defender a la Red de Infor- cin, sistemas de informacin y soft-
macin Global. ware. En el segundo caso, los equipos
informticos pretenden ser el arma que
Una nueva manera de delinquir implica el uso para lanzar ataques,
entre los que se cuentan: el acoso
A casi 10 aos de uno de los incidentes ciberntico (ciberbullying), pornografa
de seguridad mayor nombrados en el infantil, correo no deseado, spoofing
ao 2008, donde un hombre conocido (en calidad de suplantacin de varios
como Michael Largent fue arrestado vectores, como sitios web, correo elec-
por un proceso fraudulento en la trnico), DoS (Denegacin de Servi-
creacin de aproximadamente 58.000 cio). De igual manera, en sus diferentes
cuentas bancarias, las cuales us para acciones (Distributed Denial of Service
el recaudo de dinero en transacciones DoS, Economic Denial of Service
electrnicas. Bsicamente, Largent EDoS). En el tercer caso, los sistemas
realiz una burla al sistema de Google de informacin, computadoras y ele-
Checkout, Paypal y otros sitios de mentos informticos son el facilitador y
transacciones, donde a travs de apoyo a la delincuencia tradicional,
transacciones mnimas de centavos tales como el robo, el asesinato y terro-
logr acumular cerca de USD$50.000. rismo, entre otros.
Ms all del caso, las transacciones
electrnicas en s fueron vlidas, no se Generalmente, la ciberdelincuencia es
hall delito punible en el acto de llegar considerada como un crimen regular
a depositar centavos de dlar, por lo con una nueva modalidad de reali-
que a Largent no se le inculp por este zacin y un medio que, de una u otra
acto. El fraude se declar en el hecho manera, es vinculado al uso de Internet,
de llegar a falsificar nombres, nmeros pero difiere un poco. Pues bien, la
sociales y asociarlos a las cuentas diferencia es la escala y el alcance de la
bancarias, delito conocido como delincuencia, que utilizando herrami-
fraude bancario. entas de escaneo automtico pueden
ser lanzadas a travs de millones de
Lo que el crimen ciberntico ha hecho personas en cuestin de minutos. Se
es tomarse una gran cantidad de delitos opta por dichos medios, debido a las
60 SISTEMAS
acciones de los delincuentes y ofrece crdito no funciona o se ha cerrado, en
mayor seguridad e integridad fsica realidad se puede obtener un reembol-
para stos, con un nivel de exposicin so de vuelta.
menor, capacidad de existencia de
testigos y algo mucho ms llamativo, la
clandestinidad y persecucin jurdica.
Por ello, es posible que en cuestin de
horas, todo el mundo podra ser
cubierto con el mismo virus, gusano o
cualquier otra cosa. Cmo evolucio-
n? Realmente, la ciberdelincuencia
comenz como un hobby de informti-
cos aburridos y jvenes estudiantes,
cuyo objetivo principal era demostrar su
destreza y mostrar sus habilidades
como hackers a la comunidad de sus
compaeros. Fueron personas con
conocimientos un poco ms avanza-
dos, tratando de superarse unos a
otros. A pesar de que algunos de los Figura 1: Extrado de sitio web a
ataques causaran un grave perjuicio travs de la Deep web. Disponible
econmico, los autores rara vez en: 7jv2q5zyz4ij6yuf.onion
obtenan alguna remuneracin econ-
mica de los ataques. Y en la mayora de Se trata de un negocio real con
los casos, las vctimas son al azar, sin diferentes caractersticas de delito
objetivos especficos. ciberntico. Uno de los principales
fines es recopilar informacin finan-
Sin embargo, desde la dcada de los ciera, secretos comerciales, sobre la
aos 2000, se ha venido produciendo disidencia, y cmo involucrar a las
un cambio gradual hacia las redes del grandes corporaciones en situaciones
crimen y criminales ms organizados, que les representen riesgos.
ms que los piratas informticos
individuales. La delincuencia informti- Y, para cometer un delito no hay que
ca se ha convertido en un gran negocio. tener grandes conocimientos tecnol-
Y como se puede ver a partir de una gicos. De ah que la extorsin se
serie de delitos informticos y las ubique en el segundo grupo, cambian-
violaciones que han ocurrido recien- do sus vectores e ataque en el marco
temente, ellos se estn enfocando en de tecnologas de uso diario, converti-
las empresas que tienen bolsillos das en un mtodo infalible para el acto.
profundos financieros, de los que Los casos ms conocidos perpetrados
pueden obtener dinero. Un ejemplo que por bandas criminales y exempleados
afecta a muchos es la informacin poco conformes, quienes logran tras-
financiera y su hurto, como los nmeros pasar los mecanismos y controles de
de tarjeta de crdito/dbito. Hay un seguridad para amenazar con destruir
enorme mercado donde se pueden los datos o revelar informacin privada,
comprar nmeros de tarjetas de crdito en caso de que no se llegara a pagar
robadas. Y cuando la de tarjeta de dinero por su silencio o proteccin.
SISTEMAS 61
Y, el tercer grupo contempla el fraude Aun as, en nuestro pas existen
en Internet con diferentes modalida- delitos cibernticos poco tpicos, que
des. Por lo general, consiste en se ven como una conducta no
facilitar informacin falsa a un delictiva, debido a la falta de una
individuo especfico o para toda la legislacin ms estricta. Es el caso de
comunidad. Por ejemplo, las cotizacio- la piratera y aquellas acciones que
nes burstiles pueden ser manipula- van en contra de la propiedad
das, mediante la fabricacin de intelectual.
informacin positiva o negativa para
difundirla entre los participantes y La ciberdelincuencia tambin puede
generar subidas y bajadas en los clasificarse con base en la sofistica-
mercados que afectan las acciones. cin del medio utilizado. Tcnicas
Otra parte de la delincuencia acude al criminales implican la intrusin en los
robo de identidad, en el cual los piratas ordenadores y las redes, adems de
informticos pueden asumir la phishing/spoofing, robo de identidad,
identidad de la vctima y asumir su denegacin de servicio, ataques de
personaje en Internet para hacer suplantacin, la manipulacin de los
transacciones en lnea o cualquier otro servicios de datos, o el fraude. Y las
tipo de acciones. El verdadero caractersticas de estos crmenes
problema ms all del delito es incluyen un evento singular o discreto,
realmente la vctima, borrar el nombre siempre desde la perspectiva de la
de ellas de las listas de morosos, para vctima, facilitado por software
obtener su historial de crdito malintencionado, como los registrado-
restaurado, es un problema terrible. res de pulsaciones (keyloggers), bots,
SISTEMAS 63
impacto directo en la defensa o en la incorpreo. La expresin comercio
seguridad econmica: electrnico puede tomarse de manera
genrica en su significado, mientras
que el error que podemos llegar a
cometer con el prefijo ciber, integra
todo aquello intangible en ese meta-
espacio.
64 SISTEMAS
necesidad de una Constitucin que le [2] Ventre, Daniel (2015) Chinese
de vida a un nuevo Estado dentro de Cybersecurity and Defense
un marco normativo con reglas de
incuestionable cumplimiento. [3] Goodman, Marc (2016) Future Crimes:
Inside the Digital Underground and the
Battle for Our Connected World
Es necesario tener avances en el
proceso antes de lograr un nuevo [4] CONSEJO NACIONAL DE POLTICA
estado global, y explorar formas ms ECONMICA Y SOCIAL (2016) Poltica
reducidas que agrupen diferentes Nacional De Seguridad Digital. Disponible
naciones, hacia una sociedad global. en: https://colaboracion.dnp.gov.co/
El enfoque de la poltica de cibersegu- CDT/Conpes/Econ%C3%B3micos/3854.
ridad y ciberdefensa, hasta el momen- pdf
to, se ha concentrado en contrarrestar
el incremento de las amenazas [5] Denning, D (2000) Cyberterrorism.
Disponible en: http://www.cs.georgetown.
cibernticas bajo los objetivos de
edu/~denning/infosec/cyberterror.html
defensa y lucha contra el cibercrimen.
Los esfuerzos del pas han posiciona- [6] Su, Emilio (2012) Declaracin de
do a Colombia entre los lderes Derechos del Ciberespacio Disponible en:
regionales, pero es necesario estimu- http://portal.uexternado.edu.co/pdf/7_con
lar la gestin del riesgo en el ciberes- vencionesDerechoInformatico/documen
pacio junto con el desarrollo y tacion/conferencias/Los_Derechos_Hum
evolucin del marco jurdico. anos_en_el_Ciberespacio.pdf
[1] Irvine, Cynthia (2014) Security [8] Andress, Jason & Winterfeld Steve
Education and Critical Infrastructures (2011) Cyber Warfare
SISTEMAS 65
Dos
Fraude informtico:
una realidad
emergente en un
mundo digitalmente
modificado
Jeimy J. Cano M., Ph.D, Ed.D(c), CFE
Introduccin Las conductas engaosas mediadas
por estrategias digitales o informti-
Los temas de seguridad y control se cas, revelan una faceta distinta del
han convertido en un tema prioritario fraude, aumentando su capacidad de
para las organizaciones [1]. Las influencia, sus impactos y, sobre todo,
diversas formas de controvertir las aprovechando ahora la movilidad y las
medidas de proteccin, por parte de nuevas propuestas de servicios,
terceros no autorizados o de personal pueden ser usados por terceros para
interno de las empresas, establecen crear escenarios crebles y motivado-
verdaderos retos de monitoreo y res de actuaciones en las personas,
seguimiento que los encargados de la para conducirlas a un artificio [9].
seguridad o del control de fraude
deben afrontar para poder determinar El fraude con componente digital o
que algo est fuera de un patrn tecnolgico es ahora la evolucin
normal [2]. natural de las conductas falaces, que
66 SISTEMAS
encuentran en el fenmeno tcnico un mente sabemos dnde se encuentra,
aliado de su actuar, como quiera que el pero no necesariamente conocemos
anonimato, la inestabilidad de los de donde surge.
rastros y los vacos jurdicos fundan
una dinmica base para desarrollar Fraude: algunas definiciones
actividades que permitan lograr bsicas
defraudar a un tercero, generar una
ganancia y desaparecer sin advertir El fraude es una condicin de engao,
presencia [4]. situacin que revela una ilusin creada
y planeada con determinacin para
El fraude como conducta abiertamente motivar un comportamiento particular
contraria al contexto social y que en una persona. Este ejercicio crea
afecta claramente la confianza en las una ventana de vulnerabilidad -no
instituciones, es una realidad sistmi- percibida por la vctima-, donde el
ca que no se encuentra en la tecnolo- defraudador aprovecha su halo de
ga, los procesos o las personas, sino confianza para envolver a la persona
que es una combinacin de ellas, y materializar su objetivo principal:
tendiente a afectar la buena fe y por obtener un beneficio personal o para
ende crear una zona de zozobra para un tercero.
el afectado, con el fin de lograr un
beneficio ilegtimo como fruto de sus Cualquiera que sea la tcnica de
acciones engaosas y contrarias al engao utilizada, es la tecnologa la
orden establecido. que potencia sus efectos y aumenta su
impacto, como quiera que la superficie
Detectar y procesar conductas de de accin de la misma, est determi-
fraude digital o informtico, implica nada por artefactos tcnicos de uso
comprender la dinmica de la masivo, que generan suficiente
inevitabilidad de la falla, por lo menos confianza en los suscriptores para que
en cuatro dominios: las personas y sus una campaa bien diseada, basada
comportamientos; los procesos y sus en gustos y expectativas de las
riesgos; la tecnologa y sus fallas; personas tenga xito [8].
adems de los cuerpos normativos y
sus vacos, habida cuenta que es all, Basta un clic para comprometer la
en la convergencia de estos cuatro informacin de un individuo; para
elementos donde se configura la generar un vaco de seguridad de la
posibilidad de una falacia que lleva informacin y para concretar un robo
consigo la semilla de un delito mayor de identidad o materializar un ciberata-
[7]. que de grandes proporciones. Detrs
de l, debieron existir meses de
Este documento hace una breve revisin y estudio de gustos y rutinas
introduccin a la temtica del fraude de las personas; inteligencia de
informtico, como una primera mirada fuentes abiertas sobre sus aficiones y
sistmica de la problemtica, enten- preferencias, perfiles de navegacin,
diendo que an existen muchos inclinaciones sociales, acadmicas o
aspectos por resolver e investigacio- polticas, para definir los vectores de
nes que desarrollar, con el fin de dar ataque y afectar a la persona objetivo.
cuenta de una realidad que aparente-
SISTEMAS 67
Defraudador digital: habilidades de fraude, contrasta con la mentalidad
sociales, tcnicas y de exploracin relacional de los defraudadores.
Mientras unos buscan perfiles de
Los defraudadores digitales son actuacin que respondan a patrones
personas hbiles con la tecnologa, las de actividad sospechosos, detectados
relaciones sociales y las estrategias con anterioridad, los delincuentes usan
de bsqueda en internet. Estas la dinmica de la realidad para crear
habilidades llevadas con propsitos versiones ligeramente modificadas,
contrarios desarrollan contextos enri- que los hagan pasar desapercibidos
quecidos y crebles, crean escenarios frente a las tendencias. En tal sentido,
frtiles para que individuos despreve- el defraudador estar tratando de
nidos caigan en las trampas que los evaluar la realidad y definir la cotidiani-
llevan a perder activos de informacin dad, como factor clave de xito para
claves, los cuales pueden ser usados lograr su objetivo con un bajo nivel de
por los delincuentes para cometer deteccin.
otros ilcitos con sus credenciales.
Conexin consciente. Aprender de
El defraudador digital, no es necesaria- la dinmica del fraude
mente un experto en tecnologa, no
tiene edad ni condicin social ni gnero Si sabemos que no podemos anticipar
especfico, pero lo que s lo identifica es muchas de las estrategias de los
su capacidad para ver la realidad delincuentes para superar o sabotear
conectada de la persona o personas los mecanismos de control dispuestos,
objetivo, con lo cual determinan su es necesario desarrollar habilidades
patrn de accin y en forma escalonada complementarias orientadas a apren-
acumulan y relacionan informacin, der y conectar la realidad del fraude,
para fundamentar su estrategia de para detectar la frecuencia de su
engao, elaborada y concreta. intencionalidad y comenzar a seguirle
el rastro ms de cerca.
La dinmica de las redes sociales y los
constantes bombardeos de la publi- En este sentido, el analista del fraude
cidad en lnea, crean una vitrina informtico debe ser lo suficientemen-
privilegiada para los delincuentes en te abierto para desaprender y quebrar
internet, toda vez que se camuflan sus modelos mentales, de manera de
detrs de una de estas estrategias entrar en una conexin consciente con
legtimas de los comerciantes, para la realidad del fraude, que lo lleve a
establecer un perfil de invisibilidad experimentar nuevas propuestas y a
capaz de engaar hasta el cibernauta ampliar su visin estratgica de
ms especializado. En este sentido, deteccin, usando realidades alterna-
contar con el apoyo de la tecnologa de tivas antes inexploradas.
informacin y su capacidad de
correlacin es clave para aumentar la En este sentido, parafraseando las
expectativa de deteccin y accin prcticas de conexin consciente de
sobre actividades ilcitas que compro- un Chief Information Security Officer
metan la esfera personal, social, CISO-, Oficial de Seguridad de la
econmica y poltica de las personas. Informacin [3], en la lectura del
La mentalidad causal de los analistas analista o ejecutivo de control y
68 SISTEMAS
prevencin del fraude, se proponen las Permanecer centrado, en equili-
siguientes acciones: brio. Estar centrado es estar
conectado con la propia fuente de
Dejar de luchar, aprender y equilibrio. En la deteccin, preven-
anticipar. El fraude no es una lucha cin, monitorizacin y control del
contra el engao; se trata de fraude es necesario estar en
encontrar formas diferentes de constante exploracin y conocimien-
mejorar las prcticas de prevencin, to, conscientes de la ambigedad
deteccin, monitorizacin y control. permanente y en movimiento con el
Mientras ms lucha se ejerza contra engao. El responsable antifraude
el oponente, menor capacidad de est centrado, cuando su atencin
accin habr para estudiarlo y est en el fluido del presente y su
superarlo (o anticiparlo). Siempre es energa concentrada en la dinmica
posible dar un paso adelante del del cambio. No se dispersa; por el
fraude, si el afectado es capaz de contrario, identifica la incertidumbre
conectarse con l. Es decir, estructural presente en la realidad.
aprender y desaprender de su din-
mica. Superar las creencias personales.
Entre ms fuertes sean las creen-
Escuchar la voz interior. No cias, ms estrecho ser el punto de
importa lo hbil que el usuario se vista [5]. El ejecutivo antifraude que
haya vuelto para identificar y afrontar quiera tener xito deber ser flexible,
retos en la deteccin, prevencin y conjugar los distintos puntos de vista
monitorizacin del fraude, pues y combinarlos con la perspectiva de
siempre habr momentos de incerti- riesgos. En la medida en que es
dumbre y confusin. Meditar en los posible reconocer otras miradas
mensajes de voz interiores y en los sobre la misma realidad de la
diferentes anlisis y reflexiones amenaza identificada, es posible
frente a la situacin difcil, es una superar y confrontar los lmites que
alternativa. As mismo, detenerse en imponen los propios paradigmas.
el silencio de la conexin con el
fraude, para superar los lmites Capturar informacin de todas
mentales autoimpuestos y poder las fuentes posibles. Cuando se
actuar en consecuencia. advierten situaciones donde se
configuran dilemas, es preciso
Retar los lmites. Buscar dentro de consultar diferentes puntos de vista,
s aquellos paradigmas que parecen aceptando lo que todos tienen que
haber funcionado y ponerlos en ofrecer. La lectura del riesgo es
prctica frente a la realidad existen- relativa al contexto y cada persona
te. No es necesario hacer grandes lo puede leer segn la propia
cambios de estndares y prcticas, experiencia. En este sentido, es
sino tomar aquellos que son claves, necesario configurar una vista
cuyas transformaciones pueden leer agregada de opiniones para revelar
mejor las expectativas de los clientes aquellos intereses inmersos, para
y aumentar la confianza de estos poder tomar una decisin conforme
frente a la deteccin, prevencin y a lo que requiere el momento y la
monitorizacin del fraude. situacin, sin dejarse invadir o
SISTEMAS 69
seducir por una postura en particu- De esta forma, estas comunidades
lar. crean un proceso de cambio de
percepcin, con una secuencia
Aprender a tener intenciones asimtrica de intenciones aparente-
claras. En la deteccin y prevencin mente llenas de luz, las cuales
del fraude, una intencin clara, terminan en resultados que enrique-
significa tener un propsito. Una cen sus bolsillos, dejando al vaivn de
afirmacin que contempla la las otras variables del entorno, las
dinmica de la organizacin y los marcas cognitivas, afectivas, persona-
objetivos de negocio, para hacer les y sociales en sus vctimas.
congruente la prctica antifraude
con las necesidades y retos de la Frente a esta realidad es necesario un
empresa. Un ejercicio que perma- dilogo transdisciplinar orientado a
nece alerta a las seales del una reflexin desde la persona, los
entorno, para tener conciencia de procesos, la tecnologa y las regulacio-
cada paso en la direccin que nes, para facilitar la construccin de
confirma dicho propsito. fundamentos conceptuales de forma
holstica [6], adaptados a la realidad de
Reflexiones finales un mundo digital y conectado, con el
fin de crear una red de conocimientos
La dinmica del fraude informtico o complementarios que valore las
hiperconectado en el contexto de un contradicciones impuestas por la
mundo digitalmente modificado, realidad del fraude y haga de ellos, una
comporta un proyecto de transforma- capacidad clave que considere las
cin social y cultural contrario a la estrategias disponibles a la fecha para
sociedad, que busca desestabilizar y su prevencin, monitorizacin, dete-
tensionar el orden existente, no de ccin y control en las organizaciones
forma preferente y directa, sino con modernas.
acciones discretas y poco visibles, de
tal forma que los miembros de esta Referencias
comunidad con intencionalidad crimi-
nal, independientemente de su condi- [1] Bughin, J., Lund, S. y Manyika, J. (2016)
cin personal, econmica, poltica, Five priorities for competing in an era of
religiosa, social, aportan capacidades digital globalization. Mckinsey Quarterly.
distintivas que capitalizan de forma Mayo. Recuperado de: http://www.mck
integrada, cuando se concretan los insey.com/business-functions/strategy-
engaos para una empresa, persona o and-corporate-finance/our-insights/five-
grupo de inters. priorities-for-competing-in-an-era-of-
digital-globalization.
En este entendido, los defraudadores
[2] lvarez, M. (2016) Insider Attacks May
digitales comparten informacin y
Be Closer Than They Appear. Recuperado
analizan datos de forma colectiva, de: https://securityintelligence.com/
para detectar las tendencias ms insider-attacks-may-be-closer-than-they-
sobresalientes, habida cuenta de que appear/.
ellas servirn de puente y apoyo
necesario para coordinar actividades o [3] Cano, J. (2015) Conexin consciente.
intentos de nuevas formas de trampas. Siete prcticas para habilitar una visin
70 SISTEMAS
trascendente en seguridad de la informa- [7] Kessem, L. (2016) 2016 Cybercrime
cin. Recuperado de: https://www. Reloaded: Our Predictions for the Year
linkedin.com/pulse/conexi%C3%B3n- Ahead. Recuperado de: https://security
consciente-siete-pr%C3%A1cticas-para- i n te l l i g e n ce .co m/2 0 1 6 -cyb e rcri me -
habilitar-en-jeimy. reloaded-our-predictions-for-the-year-
ahead/.
[4] Cano, J. (2016) Cinco premisas de la
delincuencia digital en un mundo [8] Vax, S. (2016) Mobile Malware on
digitalmente modificado. Recuperado de: Smartphones and Tablets: The Inconve-
https://www.linkedin.com/pulse/cinco- nient Truth. Recuperado de: https://
premisas-de-la-delincuencia-digital-en- securityintelligence.com/mobile-malware-
un-mundo-jeimy. on-smartphones-and-tablets-the-inconve
nient-truth/.
[5] Chopra, D. (2014) El alma del
liderazgo. Descubre tu potencial de [9] Verizon (2016) 2016 Data breach
grandeza. Bogot, Colombia: Punto de investigations report. Recuperado de:
Lectura. http://www.verizonenterprise.com/verizon
-insights-lab/dbir/2016/.
[6] De Geus, A. (2011) La empresa
viviente. Hbitos para sobrevivir en un
ambiente de negocios turbulento. Buenos
Aires, Argentina: Grnica.
Jeimy J. Cano M., Ph.D, Ed.D(c), CFE. Ingeniero y Magster en Sistemas y Computacin
por la Universidad de los Andes. Ph.D in Business Administration por Newport University;
Especialista en Derecho Disciplinario por la Universidad Externado de Colombia y
candidato a Doctor en Educacin en la Universidad Santo Toms. Cuenta con un certificado
ejecutivo en gerencia y liderazgo del MIT Sloan School of Management, MA, USA.
Profesional certificado como Certified Fraud Examiner (CFE) por la Association of Certified
Fraud Examiners y Cobit5 Foundation Certificate de ISACA. Director de la revista
Sistemas, de la Asociacin Colombiana de Ingenieros de Sistemas ACIS-.
SISTEMAS 71
PREMIO COLOMBIANO DE INFORMATICA 2016
EMPRENDEDOR COLOMBIANO EN TI
Este ao 2016, la Asociacin quiere hacer un reconocimiento especial
al emprendedor en Tecnologas de la Informacin (TI) destacado, a
nivel nacional. Para merecer el PREMIO COLOMBIANO DE
INFORMTICA 2016, un emprendedor presentado deber cumplir
con los siguientes criterios: