Your SlideShare is downloading. ×
UNEG-AS 2012-Inf12: Auditoría Forense
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

UNEG-AS 2012-Inf12: Auditoría Forense

1,685

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,685
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
39
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Universidad Nacional Experimental de Guayana Vicerrectorado Académico Dpto. de Ciencia y Tecnología Ingeniería en Informática Auditoria Sección 01 Auditoria Forense Integrantes: Giamfranco Tarantini Asdrubal Oviedo Puerto Ordaz, 30 de Mayo de 2012
  • 2. INTRODUCCION Ahora que nos encontramos en el tercer milenio, nos damos cuenta que estamosviviendo en un nuevo mundo, el cual evoluciona sin cesar, acelerándose cada día más.Hoy hemos pasado de una economía de endeudamiento a una que se rige bajo la ley dela oferta y la demanda, en una aldea común, donde cada vez más las fronteras de lospaíses van desapareciendo. Esta nueva economía ya no exige al líder de la empresa unresultado positivo del ejercicio contable, sino una «creación de valor» presente yprevisto y enteramente competitivo. En esta nueva economía, que descansa en elconocimiento, todos tienen la vocación de ser más libres, pero también másresponsables; la responsabilidad de conducir su carrera, de dirigir su propia empresa ydestino. Ese entorno es en el que interactúan ahora las organizaciones y naciones, y lobueno o malo es que se caracteriza además por ser dinámico y cambiante, a unavelocidad tal, de que si no vamos a su ritmo, podemos quedar desfasados y obsoletospor utilizar un poco de lenguaje contable. Desgraciadamente, a países como losnuestros, esta nueva economía no nos encuentra bien parados y por el contrario hadespertado otros fenómenos como son la corrupción y el fraude que cada vez más seconvierten en situaciones de alto riesgo que los líderes de las organizaciones, privadas opúblicas deben evaluar para analizar la probabilidad de ocurrencia e impacto, de talmanera de gerenciarlas o controlarlas. Vivimos en una país con un nivel de pobreza del 54% y el 20% de indigencia(según datos oficiales), la realidad es más cruda. Con una corrupción a todo nivel. Conun Poder Judicial endeble y permeable al dinero, con políticos cuestionados, desde elvicepresidente, hasta ministros y congresistas. No hay seguridad ciudadana, lasnegligencias médicas y de otras profesiones son noticias de todos los días. Por otro lado,el mandatario actual tiene una aceptación del 7%, el gobierno tambalea, la figurapresidencial se deteriora día a día. En medio de esta debacle nacional, la corrupción ylos fraudes en las empresas, se incrementan geométricamente. El problema número uno está constituido por el desempleo y el subempleo, queno pueden ser resueltos por los gobiernos, sino por los aportes de la actividad privada.El segundo gran problema es la corrupción. En el mundo de hoy, más de la mitad de laculpa es por la corrupción de los empresarios. Otra parte es de los gobiernos, otra de lasociedad civil, que los deja y les hace el juego por debajo de la mesa. El problema quese armen nuevas redes de corrupción no se resuelve con un cambio de gobierno. Hacefalta que la sociedad invente algo diferente. Algo como vigilar desde abajo y/o crearformas de hacer publico y castigar al corrupto. De allí que la Auditoria Forense sea, enopinión de muchos, una forma de poder castigar a los corruptos. El fraude es la mayor preocupación en el ambiente de los negocios en laactualidad, por lo que combatir este flagelo se ha convertido en uno de los objetivoscorporativos tanto a nivel privado como gubernamental, debido a estas crecientesnecesidades surge la denominada: Auditoría Forense.
  • 3. Objetivo General y Especificos del Proyecto grupalObjetivo general- Desarrollar un portal web que sirva de alojamiento y permita la visualización de loscontenidos multimedia generados en el curso de Auditoría y Evaluación de Sistemas,sirviendo de referencia para la búsqueda de información por parte de profesionales opersonas con actividades afines a la cátedra.Objetivos específicos- Definir el nombre, la estructura organizativa y pautas generales del proyecto.- Crear un plan de trabajo para monitorear el trabajo.- Analizar y escoger la plataforma de desarrollo web que mejor satisfaga la necesidadcon los recursos disponibles.- Establecer el formato y la diagramación de los temas para el sitio web.- Diseñar una interfaz sencilla y cómoda para la visualización del contenido.- Preparar la ponencia del producto.- Presentar el producto en las VII Jornadas de Investigación Institucional UNEG.Objetivo General y Específicos del Proyecto IndividualObjetivo General:-Brindar una herramienta que ayude a tener un mayor conocimiento sobre la AuditoriaForenseObjetivos Específicos: - Dar a conocer un amplio conocimiento sobre la auditoria forense - Mostrar técnicas utilizadas en la auditoria forense - Presentar un material como soporte de conocimientos
  • 4. DEFINICIONLa Auditoria forense es el uso de técnicas de investigación criminalística, integradascon la contabilidad, conocimientos jurídico-procesales, y con habilidades en finanzas yde negocio, para manifestar información y opiniones, como pruebas en los tribunales. Elanálisis resultante además de poder usarse en los tribunales, puede servir para resolverlas disputas de diversas índoles, sin llegar a sede jurisdiccional. Comúnmente el término forense se relaciona sólo con la medicina legal y conquienes la practican, frecuentemente identifican este vocablo con necropsia (necro quesignifica muerto o muerte), patología (ciencia médica que estudia las causas, síntomas yevolución de las enfermedades) y autopsia (examen y disección de un cadáver, paradeterminar las causas de su muerte). El término forense corresponde al latín forensis, que significa público, ycomplementando su significado podemos remitirnos a su origen forum del latín quesignifica foro, plaza pública o de mercado de las antiguas ciudades romanas donde setrataban las asambleas públicas y los juicios; lo forense se vincula con lo relativo alderecho y la aplicación de la ley, en la medida que se busca que un profesional idóneoasista al juez en asuntos legales que le competan y para ello aporte pruebas de carácterpúblico para representar en un juzgado o Corte Superior. Según el diccionario Larousse, forense es “el que ejerce su función pordelegación judicial o legal”. Por ello se puede definir la Auditoria forense como“aquélla que provee de un análisis contable que es conveniente para la Corte, el cualformará parte de las bases de la discusión, el debate y finalmente el dictamen de lasentencia”. En términos de investigación contable y de procedimientos de auditoria, larelación con lo forense se hace estrecha cuando hablamos de la contaduría forense,encaminada a aportar pruebas y evidencias de tipo penal, por lo tanto se defineinicialmente a la auditoria forense como una auditoria especializada en descubrir,divulgar y atestar sobre fraudes y delitos en el desarrollo de las funciones públicas yprivadas; algunos tipos de fraude en la administración pública son: conflictos deintereses, nepotismo, gratificaciones, estados falsificados, omisiones, favoritismo,reclamaciones fraudulentas, falsificaciones, comisiones clandestinas, malversación defondos, conspiración, prevaricato, peculado, cohecho, soborno, sustitución, desfalco,personificación, extorsión, lavado de dinero.BREVE HISTORIA “A través de la historia se han realizado distintos tipos de auditoria, tanto alcomercio como a las finanzas de los gobiernos. El significado del auditor fue “personaque oye”, y fue apropiado en la época durante la cual los registros de contabilidadgubernamental eran aprobados solamente después de la lectura pública en la cual lascuentas eran leídas en voz alta. Desde tiempos medievales, y durante la revoluciónIndustrial, se realizaban auditorias para determinar si las personas en posiciones deresponsabilidad oficial en el gobierno y en el comercio estaban actuando y presentadoinformación de forma honesta”. Durante la Revolución Industrial a medida que el tamaño de las empresasaumentaba sus propietarios empezaron a utilizar servicios de gerentes contratados. Conla separación de propiedad y gerencia, los ausentes propietarios acudieron a losauditores para detectar errores operativos y posibles fraudes. Los bancos fueron losprincipales usuarios externos de los informes financieros. Antes del 1900 la auditoría
  • 5. tenía como objetivo principal detectar errores y fraudes, con frecuencia incluían elestudio de todas o casi todas las transacciones registradas. A mediados del siglo XX, el enfoque del trabajo de auditoría tendió a alejarse dela detección de fraude y se dirigió hacia la determinación de si los estados financierospresentaban razonablemente la posición financiera y los resultados de las operaciones.A medida que las entidades corporativas se expandían los auditores comenzaron atrabajar sobre la base de muestras de transacciones seleccionadas y en adición tomaronconciencia de la efectividad del control interno. La profesión reconoció que las auditorías para descubrir fraudes serían muycostosas, por estos el control interno fue reconocido como mejor técnica. A partir de ladécada de los 60s en Estados Unidos la detección de fraudes asumió un papel másimportante en el proceso de auditoría. Este desplazamiento en la detección de fraude fue el resultado de: un incrementodel Congreso para asumir una mayor responsabilidad por los fraudes en gran escala, unadiversidad de procesos judiciales exitosos que reclamaban que los informes financierosfraudulentos habían quedado inapropiadamente sin detección por parte de los auditoresindependientes y la convicción por parte de los contadores públicos de que deberíaesperarse de las auditorías la detección de fraude material. En 1996 la Junta de Normas de Auditoría, emitió una guía para los auditoresrequiriendo una evaluación explícita del riesgo de errores en los estados financieros entodas las auditorías, debido al fraude. El uso de sistemas de computación no ha alteradola responsabilidad del auditor en la detección de errores y fraude. El Congreso y losreguladores estaban convencidos de que la clave para evitar problemas era lareglamentación de leyes efectivas y las exigencias por parte de los auditores, en elcumplimientos de las provisiones de esas leyes y regulaciones. Como consecuencia de diversos actos fraudulentos las principalesorganizaciones de contabilidad patrocinaron la Comisión Nacional sobre Presentaciónde informes Financiero Fraudulentos, muchas de las recomendaciones a los auditoresfueron reglamentadas por la Junta de Normas y Auditoría, una de la más importantefueron sobre la efectividad del control interno y la demanda de la atestación de losauditores En estos tiempos de cambios en el mundo, la sociedad y la empresa, se debefomentar y enriquecer también en el Perú la implementación y desarrollo de laAuditoria Forense como una metodología efectiva profundizando la lucha contra lacorrupción. La auditoría a evolucionado para adaptarse a estos nuevos procesos yenfrentar las grandes transformaciones en los diferentes ambientes, como son lasiniciativas de fusiones, cambios tecnológicos, lanzamientos de nuevos productos,definición de nuevos servicios, entre otros. Dentro de esta evolución la auditoría se haespecializado para ofrecer nuevos modelos de auditorías, entre estos encontramos laForense que surge como un nuevo apoyo técnico a la auditoría gubernamental, debido alincremento de la corrupción en este sector. Esta auditoría puede ser utilizada tanto, elsector público como en el privado. Los distintos tipos de auditorías son importantes porque proveen confiabilidaden la información financiera lo que permite a las entidades la asignación de formaeficiente de los recursos, la contribución del auditor es proporcionar credibilidad a lainformación, para los Accionistas, Acreedores, Clientes, Reguladores Gubernamentales,entre otros.
  • 6. Con frecuencia se considera que las auditorías se clasifican en tres grandescategorías: Auditoría de Estado Financieros, Auditorías de Cumplimiento y AuditoríasOperacionales. A continuación se mencionan a las auditorías utilizadas en la actualidad: • Auditorías Gubernamental • Auditorías de Estados Financieros • Auditorías de Cumplimiento • Auditorías de Gestión y Operacionales • Auditorías Internas • Auditorías Especiales • Auditorías de Control InternoTIPOS Los tipos de auditoria forense dependen del tipo de investigación que puederealizar un auditor forense estos son: Investigaciones de crimen corporativo; Estas investigaciones se relacionan con fraude contable y corporativo ante lapresentación de información financiera inexacta por manipulación intencional,falsificación, lavado de activos, etc.Investigaciones por disputas comerciales En este campo, el auditor forense se puede desempeñar como investigador, pararecaudar evidencia destinada a probar o aclarar algunos hechos tales como: Rompimientos de contratos, disputas por compra y venta de compañías, reclamos por determinación de utilidades, reclamos por rompimientos de garantías, disputas por contratos de construcción, disputas por propiedad intelectual y disputas por costos de proyectos. Reclamaciones de seguros por devoluciones de productos defectuosos, por destrucción de propiedades, por organizaciones y procesos complejos y verificación de supuestos reclamos. Acusaciones por negligencia profesional, que incluye la cuantificación de pérdidas ocasionadas y la asesoría a demandantes y acusados proporcionando evidencia desde expertos en normas de auditoría y de contabilidad. Trabajos de valoración de marcas, propiedad intelectual, acciones
  • 7. DISEÑOIniciar un servicio de auditoria forense con fines de detectar y determinar los hallazgosde irregularidades, fraude y corrupción en la administración de organizaciones, esestablecer una metodología que conste de elementos definidos, consistentes e integrales. Como aporte para el desarrollo de nuevas y más eficientes metodologías deinvestigación de fraudes o realización de auditorias forenses consideramos adecuado elsiguiente esquema.Esta metodología está constituida por las actividades siguientes:1. Definición y reconocimiento del problema.2. Recopilación de evidencias de fraude.3. Evaluación de la evidencia recolectada.4. Elaboración del informe final con los hallazgos.5. Evaluación del riesgo forense.6. Detección de fraude.7. Evaluación del Sistema de Control Interno. El objetivo es el de señalar al auditor una serie de procedimientos que lebrindarán la posibilidad de contar con herramientas técnicas a fin de cumplir con éxitosu cometido, por ello no se profundiza en ellas. La estructura de trabajo sigue los lineamientos de las Normas de AuditoriaGeneralmente Aceptadas (NAGAS) y las Declaraciones sobre normas de auditoria(SAS), en cuanto a las etapas del proceso de auditoría (Planeación, Ejecución eInforme), sin olvidar, por supuesto, que al detectarse un fraude o una irregularidad, elproceso puede verse afectado en cuanto al enfoque, objetivos, alcance de las pruebas,composición del equipo de auditoría y cronograma de trabajo. Para un mejor entendimiento de la metodología, se parte del hecho de realizaruna auditoría integral y no de la aplicación de un sistema de control en particular,aunque se hace énfasis en la evaluación del sistema de control interno, en el controlfinanciero y en el control fiscal a la contratación estatal. En lo concerniente al establecimiento de áreas de riesgo, se utiliza la evaluacióndel sistema de control interno, según el COSO (Committee of SponsoringOrganizations of tiie Treadway Commission). Sin embargo, se toman algunasconsideraciones que la Entidad Federal de Fiscalización (EFK) utiliza para laplaneación de las fiscalizaciones. De igual manera, el término de "banderas rojas",utilizado por la Oficina del Auditor General de Canadá, hace referencia a los síntomas oindicadores de fraudes que se asocian con otros casos.
  • 8. En lo concerniente al Control Financiero, se utiliza la práctica por ciclostransaccionales y el Control de Legalidad. El término "hallazgo" es entendido como las deficiencias o debilidadespresentadas a través del informe de auditoría y que hacen parte de los comentarios queel auditor redacta sobre los aspectos saltantes encontrados durante el proceso.NORMATIVASEn la actualidad no existe un cuerpo definido de principios y normas de auditoríaforense, sin embargo, dado que este tipo de auditoría en términos contables es muchomás amplio que la auditoría financiera, por extensión debe apoyarse en principios ynormas de auditoría generalmente aceptadas y de manera especial en normas referidas alcontrol, prevención, detección y divulgación de fraudes, tales como las normas deauditoría SAS N° 82 y N° 99 y la Ley Sarbanes-Oxley.5.1) SAS N° 82 «Consideraciones sobre el Fraude en una Auditoría de EstadosFinancieros»:Esta norma entró en vigencia a partir de 1997 y clarificó la responsabilidad del auditorpor detectar y reportar explícitamente el fraude y efectuar una valoración del mismo. Alevaluar el fraude administrativo se debe considerar 25 factores de riesgo que se agrupanen tres categorías: 1. Características de la administración e influencia sobre el ambiente de control (seis factores); 2. Condiciones de la industria (cuatro factores); y 3. Características de operación y de estabilidad financiera (quince factores).De manera especial se debe resaltar que el SAS N° 82 señala que el fraudefrecuentemente implica: (a) una presión o incentivo para cometerlo; y (b) unaoportunidad percibida de hacerlo. Generalmente, están presentes estas dos condiciones.5.2) SAS N° 99 «Consideración del fraude en una intervención del estado financiero».Esta declaración reemplaza al SAS N° 82 «Consideraciones sobre el Fraude en unaAuditoría de Estados Financieros » y enmienda a los SAS N°1 «Codificación de normasy procedimientos de auditoría» y N° 85 «Representaciones de la Gerencia» y entró envigencia en el año 2002. Aunque esta declaración tiene el mismo nombre que suprecursora, es de más envergadura que el SAS N° 82 pues provee a los auditores unadirección ampliada para detectar el fraude material y da lugar a un cambio substancialen el trabajo del auditor.Este SAS acentúa la importancia de ejercitar el escepticismo profesional durante eltrabajo de auditoría. Asimismo, requiere que un equipo de auditoría: 1. Discuta en conjunto cómo y dónde los estados financieros de la organización pueden ser susceptibles a una declaración errónea material debido al fraude.
  • 9. 2. Recopile la información necesaria para identificar los riesgos de una declaración errónea material debido al fraude. 3. Utilice la información recopilada para identificar los riesgos que pueden dar lugar a una declaración errónea material debido al fraude. 4. Evalúe los programas y los controles de la organización que tratan los riesgos identificados. 5. Responder a los resultados del gravamen.Finalmente, este SAS describe los requisitos relacionados con la documentación deltrabajo realizado y proporciona la dirección con respecto a las comunicaciones delauditor sobre el fraude a la gerencia, al comité de auditoría y a terceros.5-3) Ley Sarbanes-OxleyEn el mes de julio de 2002, el presidente de los Estados Unidos promulgó la LeySarbanes-Oxley. Esta ley incluye cambios de amplio alcance en las reglamentacionesfederales sobre valores que podrían representar la reforma más significativa desde lasanción de la Securities Exchange Act de 1934. La Ley dispone la creación del PublicCompnay Accounting Oversigth Borrad (PCAOB) para supervisar las auditorías deempresas que cotizan y que están sujetas a las leyes sobre valores de la Securities andExchange Comisión (SEC).Asimismo, se establece un nuevo conjunto de normas de independencia del auditor,nuevos requisitos de exposición aplicables a las empresas que cotizan y a sus miembros,y severas sanciones civiles y penales para los responsables de violaciones en materia decontabilidad o de informes. También se imponen nuevas restricciones a los préstamos ytransacciones con acciones que involucran a miembros de la empresa.Para las empresas que cotizan valores de los Estados Unidos de Norteamérica, losefectos más destacados de la Ley se refieren a la conducción societaria; la ley obligará amuchas empresas a adoptar cambios significativos en sus controles internos y en losroles desempeñados por su comité de auditoría y la gerencia superior en el proceso depreparación y presentación de informes financieros.En este sentido, la ley otorga mayores facultades a los Comités de Auditoría que debenestar conformados en su totalidad por directores independientes, donde al menos uno delos cuales debe ser un experto financiero. Este Comité es responsable de supervisartodos los trabajos de los auditores externos, incluyendo la pre-aprobación de serviciosno relacionados con la auditoría y a la cual los auditores deben reportar todas laspolíticas contables críticas, tratamientos contables alternativos que se hubieran discutidopara una transacción específica, así como toda comunicación escrita significativa que sehaya tenido con la Gerencia.La ley también impone nuevas responsabilidades a los Directores Ejecutivos yFinancieros y los expone a una responsabilidad potencial mucho mayor por lainformación presentada en los estados financieros de sus empresas ya que, entre otros,éstos requieren mantener y evaluar la efectividad de los procedimientos y controles parala exposición de información financiera, debiendo emitir regularmente un certificado alrespecto. La ley también impone severas penas por preparar información financiera
  • 10. significativamente distorsionada o por influir o proporcionar información falsa a losauditores.AUDITORIA FORENSE INFORMATICAMétodos Usados para abusar de las nuevas tecnologías y como prevenirlos ydetectarlos.Seguridad de la información:Es el conjunto de medidas preventivas y reactivas del hombre, de las organizaciones yde los sistemas tecnológicos que permitan resguardar y protegerla información buscando mantener la confidencialidad, la disponibilidad e Integridad dela misma.Ataque:Intento de destruir, exponer, alterar, inutilizar, robar o acceso o uso no autorizado de unactivo, entendiéndose por activo todo aquello que representa un valor para la empresa.Tipos de ataque. Acceso Modificación Denegación de servicio RefutaciónAtaque de accesoEs un intento de obtener información que un atacante no esta autorizado a ver. El ataquepuede ocurrir: En la fuente de almacenamiento Durante la transmición de la información.Clasificación Fisgoneo: Consiste en hurgar entre los archivos de información con la esperanza de encontrar algo interesante. Escuchar furtivamente: Consiste en escuchar una conversación en la que no formas partes. Para obtener acceso no autorizado a la información, el atacante debe colocarseen un sitio que probablemnte circule toda la información o al menos la que le interesa. Intercepción: Parecido a la escucha furtiva a diferencia que el atacante se coloca el mismo en la ruta de la información y la captura antes de que esta llegue a su destino.Ataque de modificación.
  • 11. Es un intento de modificar la información que un atacante no esta autorizado amodificar. El ataque puede ocurrir: En la fuente de almacenamiento Durante la transmisión de la información.Clasificación Cambios: Es el cambio de la información existente. Inserción: Agrega información que no existía con anterioridad. Eliminación: Es la remoción de información existente.Ataque de Denegación de ServicioSon ataques que niegan el uso de los recursos a los usuarios legítimos del sistemas,información o capacidad.Clasificación. Denegación de acceso a la información: Ataque DoS en contra de la información provocando que no este disponible. Denegación de acceso a la aplicación: ataque DoS dirigido a la aplicación que manipula o exhibe la información. Denegación de acceso a sistemas: dirigido a derribar sistemas de computo. Denegación de acceso de comunicaciones: Ataque dirigidos alas redes y medios. Consiste en congestionar las redes o dañar los medios de transmisión.AmenazasPosible causa de un incidente no deseado, que puede resultar en daños a un sistema uorganización.Componentes Objetivos. Aspecto de la seguridad que puede ser atacado. Agentes: Las personas u organizaciones que originan la amenaza. Eventos: El tipo de acción que representa la amenaza.VulnerabilidadLa debilidad de un activo de control que puede ser explotada por una amenaza. ISO27000:2009.Posibilidad de ocurrencia de la materialización de una amenza sobre un activo.
  • 12. Las siguientes son algunas de las amenazas comunes en internet (más allá de losgusanos, los virus y los troyanos que pueden ser eliminados con un antivirus), esimportante reconocerlas porque mientras no estén debidamente regulados los delitosinformáticos, es el sentido común del usuario lo que puede guiarlo para evitar un ataquevirtual. PhishingPhishing es un término informático que denomina un tipo de delito encuadrado dentrodel ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipodeingeniería social caracterizado por intentar adquirir información confidencial deforma fraudulenta (como puede ser una contraseña o información detalladasobre tarjetas de crédito u otra información bancaria). El estafador, conocidocomo phisher, se hace pasar por una persona o empresa de confianza en una aparentecomunicación oficial electrónica, por lo común un correo electrónico, o algún sistemade mensajería instantánea1 o incluso utilizando también llamadas telefónicas.Dado el creciente número de denuncias de incidentes relacionados con el phishing, serequieren métodos adicionales de protección. Se han realizado intentos con leyes quecastigan la práctica y campañas para prevenir a los usuarios con la aplicación demedidas técnicas a los programas. PharmingPharming es la explotación de una vulnerabilidad en el software de losservidores DNS (Domain Name System) o en el de los equipos de los propios usuarios,que permite a un atacante redirigir un nombre de dominio (domain name) a otramáquina distinta. De esta forma, un usuario que introduzca un determinado nombre dedominio que haya sido redirigido, accederá en su explorador de internet a la página webque el atacante haya especificado para ese nombre de dominio.En el pharming no es implícito que se requiera de hacer algún tipo de respuesta a uncorreo electrónico, o se valga de algún programa troyano, ni en su defecto de unprograma de captura de tecleo (en comparación del phishing); sino que se valen delservidor que el atacante controle.En cualquiera de los casos se recomienda:1) No responder a solicitudes de información personal a través del correo electrónico,salvo que se conozca (y no virtualmente) a la persona solicitante. En caso de existirdudas, póngase en contacto con la entidad (casa comercial o banco) que supuestamentele está enviando el mensaje.2) Actualmente los programas de seguridad, como los antivirus, contienen programasque permiten verificar la autenticidad del sitio web que se visita. El ícono del candadocerrado de sitio seguro funciona muchas veces como una herramienta práctica quepermite identificar el certificado de seguridad del sitio que se está visitando.3) Consulte de manera frecuente sus saldos bancarios y de sus tarjetas de crédito.4) Guarde en un lugar seguro toda la prueba física y electrónica de sus transaccionesrealizadas.5) Si no puede verificar al autenticidad del sitio web que visita, evite hacer cualquierclase de transacción o envío de información personal
  • 13. SPAM“SPAM” es la denominación que se le da a aquellos correos que no son solicitados y loscuales son enviados de forma masiva a la bandeja de entrada de los usuarios de la red,sin el consentimiento del receptor.El spam usualmente viene disfrazado con una línea de asunto que el usuario lee comoun mensaje personal, un mensaje de negocio (como podría ser la renovación de unacuenta), o bien, una falta de entrega de algún mensaje.[6]Desafortunadamente, el spam no se limita solamente a correos electrónicos, puedeafectar cualquier sistema que permita al usuario hacer uso de comunicaciones.El Protocolo de Inicio de Sesiones (SIP por sus siglas en inglés Session InitiationProtocol), es utilizado para las comunicaciones multimedia entre los usuarios, incluidaslas de voz, video, mensajería instantánea y de presencia, en consecuencia, cualquiera deestas comunicaciones puede ser tan vulnerable al spam como lo es el correo electrónico.El spam puede presentarse de tres diferentes maneras:1.- La llamada spam (call spam). Este tipo de spam se define como intentos deiniciación de sesión en masa no solicitados (es decir invitar solicitudes), tratando deestablecer comunicación por medio de voz, video, mensajería instantánea o cualquierotro tipo de sesiones de comunicación. Si el usuario debe contestar, el spammer procedea transmitir su mensaje mediante el tiempo real de medios de comunicación. Este spames clásico de telemercadeo, es llamado spam mediante telefonía IP (protocolo deinternet por sus siglas en inglés Internet Protocol IP) o “spit”.2.- Spam de mensajería instantánea (IM spam). Este tipo de spam es muy similar al delcorreo electrónico, está definido por mensajes instantáneos no solicitados enviados enabundancia, cuyo contenido es el mensaje que el spammer desea transmitir; este spam,es enviado mediante una solicitud de mensaje SIP; sin embargo, cualquier otra solicitudque genere contenido al aparecer en automático en la pantalla del usuario, serásuficiente. Puede incluir también invitaciones con temas de cabecera largos oinvitaciones que contengan texto HTML. Este tipo de spam es llamado spam sobremensajería instantánea o “spim”.3.- Spam de presencia (presence spam). Este tipo de spam es similar al IM spam, puestoque se define por un conjunto de solicitudes de presencia (es decir, peticiones desuscripción) enviadas en masa, sin diferir de los tipos anteriores, no son requeridaséstas, esto para la presencia de paquetes, con el fin de esta en el cuerpo de la lista o“lista blanca” de un usuario con el propósito de enviar mensajes instantáneos o iniciaralguna otra forma de comunicación. [7]Actualmente los proveedores del servicio de correo electrónico han establecidoprogramas o filtros para combatir el spam, auxiliándose en muchas ocasiones de lasdenuncias de los mismos usuarios. BotnetBotnet es un término que hace referencia a un conjunto de robots informáticos o bots,que se ejecutan de manera autónoma y automática. El artífice de la botnet (llamadopastor) puede controlar todos los ordenadores/servidores infectados de forma remota ynormalmente lo hace a través del IRC (Internet Relay Chat, es un protocolo decomunicación en tiempo real basado en texto). Las nuevas versiones de estas botnets se
  • 14. están enfocando hacia entornos de control mediante HTTP, con lo que el control deestas máquinas será mucho más simple.En los sistemas Windows la forma más habitual de expansión de los "robots" suele seren el uso de cracks y archivos distribuidos de forma que infringe la licencia copyright.Este tipo software suele contener malware el cual, una vez el programa se ejecuta,puede escanear su red de área local, disco duro, puede intentar propagarse usandovulnerabilidades conocidas de windows, etc.Con el Botnet se realizan ataques de tipo DDoS (ataque distribuido de denegación deservicio, ) el cual lleva a cabo generando un gran flujo de información desde variospuntos de conexión y por ende no se reconoce con facilidad desde cual conexiónestamos siendo atacados.Herramientas y métodos utilizados para evitar el abuso de las nuevas tecnologías Firewall (cortafuegos)Es una parte de un sistema o una red que está diseñada para bloquear el acceso noautorizado, permitiendo al mismo tiempo comunicaciones autorizadas.Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar,cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto denormas y otros criterios.Los cortafuegos pueden ser implementados en hardware o software, o una combinaciónde ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios deInternet no autorizados tengan acceso a redes privadas conectadas a Internet,especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan através del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplenlos criterios de seguridad especificados. Antivirus;Aplicación o grupo de aplicaciones dedicadas a la prevención, búsqueda, detección yeliminación de programas malignos en sistemas informáticos. Antispam:Es lo que se conoce como método para prevenir el "correo basura” o spam.Tanto losusuarios finales como los administradores de sistemas de correo electrónico utilizandiversas técnicas contra ello. Algunas de estas técnicas han sido incorporadas enproductos, servicios y software para aliviar la carga que cae sobre usuarios yadministradores. No existe la fórmula perfecta para solucionar el problema del spam porlo que entre las múltiples existentes unas funcionan mejor que otras, rechazando así, enalgunos casos, el correo deseado para eliminar completamente el spam, con los costesque conlleva de tiempo y esfuerzo.
  • 15. Filtros de Contenido:Los filtros de contenido son la herramienta más común de protección. Son programasdiseñados para controlar y gestionar el contenido que se visualiza desde un equipo. Esdecir, el filtro decidirá qué contenido es apto. El principal motivo de su existencia esprevenir a los usuarios de ciertas informaciones que no nos son deseadas. Cuando seimpone sin el consentimiento del usuario, puede constituir censura.Los usos comunes de estos programas incluyen padres que desean limitar los sitios quesus hijos ven en sus computadoras domésticas, escuelas con el mismo objetivo,empleadores para restringir qué contenidos pueden ver los empleados en el trabajo.Auditoria en la Seguridad de la Información:Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo porprofesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática, paraidentificar, enumerar y posteriormente describir las diversas vulnerabilidades quepudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes decomunicaciones o servidores.Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsablesquienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendosiempre un proceso secuencial que permita a los administradores mejorar la seguridadde sus sistemas aprendiendo de los errores cometidos con anterioridad.Las auditorías de seguridad de SI (Sistemas de Información) permiten conocer en elmomento de su realización cuál es la situación exacta de sus activos de información encuanto a protección, control y medidas de seguridad.Realización de una Auditoria en un Sistema de Información:Una auditoría se realiza con base a un patrón o conjunto de directrices o buenasprácticas sugeridas. Existen estándares orientados a servir como base para auditorías deinformática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de laInformación), dentro de los objetivos definidos como parámetro, se encuentra el"Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrarel estándar ISO 27002, el cual se conforma como un código internacional de buenasprácticas de seguridad de la información, este puede constituirse como una directriz deauditoría apoyándose de otros estándares de seguridad de la información que definen losrequisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO27001.La publicación del estándar ISO 27002 en 2.005 incluye las siguientes seccionesprincipales, las cuales deben ser tomadas en cuenta al evaluar un sistema de informacióno auditar el mismo: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información.
  • 16. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento.Dentro de cada sección, se especifican los objetivos de los distintos controles para laseguridad de la información. Para cada uno de los controles se indica asimismo una guíapara su implantación. El número total de controles suma 133 entre todas las seccionesaunque cada organización debe considerar previamente cuántos serán realmente losaplicables según sus propias necesidades.
  • 17. ¿Qué estrategias de búsqueda de información aplicamos? Las estrategias a usar serán: 1.-Una consulta con un auditor y/o abogado penal. 2.-Revision y estudio del Código Orgánico Procesal Penal 3.- Asesoría Contable, búsqueda de información sobre finanzas 4.- Recopilación de Información en libros virtuales 5.- Discusión breve con compañeros de equipo (intercambio de ideas einformación). ¿Cuál fue el proceso de diseño seguido? Introducción: 1.-Reseña Histórica Inicios Actualidad Futuro 2.-Tipos de Auditoria Forense Semejanzas Diferencias Objetivos Procedimientos 3.-Diseño de una Auditoria Forense 4.-Normas legales: Definición del Código Orgánico Procesal Penal Leyes destacadas Responsables del cumplimiento de las mismas 5.-Presentacion de video 6.-Muestra de herramienta o programa relacionado¿Cuáles fueron las Herramientas Utilizadas? 1. Investigación en libros electrónicos. 2. Código Orgánico Procesal Penal. 3. Ejemplos de auditorías forenses ya realizadas. 4. Estadísticas de auditorías forenses 5. Entendimiento del control interno y políticas y procedimientos en el áreaafectada
  • 18. ¿Cuál fue el proceso de toma de decisiones para elegir la herramienta? Se identifico y se analizo el tema de investigación, luego de leer el contenidosobre el cual se tendría que investigar se identificaron criterios y prioridades para usarherramientas más necesarias, se siguió el siguiente patrón: 1. Identificar y Analizar las herramientas 2. Se Define una herramienta prioritaria 3. Se Evaluaron las Opciones 4. Se tomaron las decisionesPlanificacion detallada del proyecto individual
  • 19. Conclusión.La Auditoria Forense brinda un aporte muy positivo ya que evalúa las actividades y eldesarrollo de estas, identificando que todo se lleve acabo como lo dictan las leyesestablecidas, de esta manera se estaría resguardando el patrimonio del Estado.La lucha contra la corrupción, valor agregado para los procesos operativos,transparencia en las operaciones, credibilidad de los funcionarios e institucionespúblicas, son unos de los aportes significativos que nos brinda la Auditoria Forense,gracias a estos aportes hoy en día existe una mejora en la administración publica.Actualmente así como existen muchas maneras de vernos afectos por actividades ilícitasrealizadas sin darnos cuenta, también existen distintos métodos de salvaguardar yprevenir nuestros bienes. Todo dependerá de lo precavido que seamos al realizarnuestras actividades ya sea de nuestra organización como el manejo de los sistemas deinformación.

×