Vous êtes sur la page 1sur 76

No.

139 Abril - Junio 2016 ISSN 0120-5919

Tarifa Postal Reducida Servicios Postales Nacionales S.A. No. 2016-186 4-72, vence 31 de Dic. 2016

Calle 93 No. 13 - 32 of. 102


Bogot, D.C.
www.acis.org.co
En esta edicin
Editorial
Fraude informtico: generoso caldo de cultivo 4
Enfrentarlo, se convierte en una tarea exigente y de visin multidisciplinar.

Entrevista
Fraude informtico: preguntas y respuestas con Muna Dora Buchahin Abulhosn 8
Mencionar su nombre significa indagar entre los pesos pesados del fraude en el
mbito de las tecnologas de la informacin y las comunicaciones. A ella nada se le
escapa.

Columnista Invitado
Reflexiones sobre el fraude personal y corporativo 12
El nuevo mundo interconectado genera tension en trminos de seguridad y los
controles terminan siendo los ms simples, guiados por el sentido comn.

Encuesta
Tendencias 2016 18
Encuesta nacional de seguridad informtica
Retos de la ciberseguridad.

Cara y Sello
Fraude informtico y el contexto colombiano 38
El ritmo que acompaa los avances tecnolgicos en trminos de fraude, no es el
mismo de los controles ni de las alertas ni de la cultura de prevencin y, menos an,
del marco jurdico que los cobija.

Uno
Fraude informtico, una amplia mirada 59
Diferencias de conceptos e implicaciones entre fraude, crimen ciberntico y otros.

Dos
Fraude informtico. Una realidad emergente en un mundo digitalmente modificado 66

SISTEMAS 1
Publicacin de la Asociacin Colombiana de
Ingenieros de Sistemas (ACIS)
Resolucin No. 003983 del
Ministerio de Gobierno
Tarifa Postal Reducida Servicios Postales
Nacional S.A. No. 2016-186 4-72
ISSN 0120-5919
Apartado Areo No. 94334
Bogot D.C., Colombia

Direccin General
Jeimy J. Cano Martnez

Consejo de Redaccin
Francisco Rueda F.
Julio Lpez M.
Mara Esperanza Potes L.
Gabriela Snchez A.
Manuel Dvila S.
Andrs Ricardo Almanza J.
Emir Hernando Pernet C.
Fabio Augusto Gonzlez O.
Diego Fernando Marn S.

Editor Tcnico
Jeimy J. Cano Martnez

Editora
Sara Gallardo Mendoza

Junta Directiva ACIS


2016-2017
Presidente
Edgar Jos Ruiz Dorantes
Vicepresidente
Luis Javier Parra Bernal
Secretario
Juan Manuel Corts Franco
Tesorero
Emir Hernando Pernet Carrillo
Vocales
Mara Consuelo Franky de Toro
Camilo Rodrguez Acosta
Rodrigo Rebolledo Muoz

Directora Ejecutiva
Beatriz E. Caicedo Rioja

Diseo y diagramacin
Bruce Garavito

Impresin
Javegraf

Los artculos que aparecen en esta edicin no


reflejan necesariamente el pensamiento de la
Asociacin. Se publican bajo la responsabilidad
de los autores.

Abril-Junio 2016
Calle 93 No.13-32 Of. 102
Telfonos 616 1407 616 1409
A.A. 94334
Bogot D.C.
www.acis.org.co
Editorial

Fraude informtico:
generoso caldo
de cultivo

Enfrentarlo, se convierte en
una tarea exigente y de visin
multidisciplinar.

Jeimy J. Cano M., Ph.D, Ed.D(c), CFE

El fraude informtico es una realidad como la interseccin de malas prc-


multidimensional que afecta a todos ticas de las personas, las debilidades
los participantes de la sociedad. Su de seguridad y control en los procesos,
capacidad de adaptacin y reinven- las fallas o vulnerabilidades tcnicas
cin en contextos digitales, le permite de las tecnologas de informacin, as
asumir distintas formas y aproximacio- como las limitaciones legales para
nes de tal manera que, establecer actuar cuando corresponde, deben
esquemas referentes para enfrentarlo, motivar el desarrollo de habilidades en
resulta una tarea exigente y de visin los profesionales antifraude, para en-
multidisciplinar. frentar el caldo de cultivo generoso y
siempre fresco que crea esta reali-
En este sentido, la identificacin y dad, donde la inevitabilidad de la falla y
atencin de patrones emergentes la creatividad de la mente criminal

4 SISTEMAS
tienen un sitio preferente donde comunidad estadsticas neutrales y
operar. acadmicas en temas relevantes
para el gremio y la nacin, presenta
De ah que esta edicin de la revista se los resultados de la XVI Encuesta
ocupe de examinar el desafo del Nacional de Seguridad Informtica -
fraude informtico, para motivar refle- ENSI-16-, basada en el conocimien-
xiones conceptuales y prcticas to adquirido a lo largo de aos de
conectadas con la realidad actual de compilacin y anlisis de informa-
los individuos y las organizaciones, en cin, nos muestra las tendencias y
Colombia y en el mundo. los retos frente a las amenazas
emergentes en la proteccin de la
Dentro de ese contexto, el ingeniero informacin, en la dinmica del con-
Juan Carlos Reyes, columnista invit- texto colombiano.
ado, plantea sus anlisis desde la
cotidianidad del fraude y las encrucija- Teniendo en cuenta que el fraude
das actuales en un mundo digitalmen- informtico es una problemtica
te modificado e hiperconectado, en el multidisciplinar, el foro que habitual-
que el sentido comn que suele ser el mente se realiza para cada nmero
menos comn de los sentidos valga de la revista, cont con la participa-
la redundancia-, debe ser la prctica cin de la academia y la consultora,
ms habitual para hacernos ms resis- profesionales especialistas en estos
tentes a las estrategias de los delin- asuntos. El dilogo planteado por los
cuentes. abogados, los contadores pblicos y
los ingenieros de sistemas, sobre la
A nivel internacional, la Asociacin de realidad de fraude en el contexto
Examinadores Certificados de Fraude digital, establece una postura
(en ingls Association of Certified integral que procura, no slo ver los
Fraud Examiners ACFE-) es la resultados de las actividades ilega-
entidad global que ofrece un cuerpo de les, sino el alcance de la conducta
conocimiento destinado a la lucha criminal que, asistida por la tecno-
contra el fraude, en todas sus formas. loga, crea una realidad que engaa
En tal sentido, la entrevista realizada a y compromete millonarios recursos
la doctora Muna Dora Buchahin financieros que afectan tanto a las
Abulhosn, fundadora y vicepresidente organizaciones como a la nacin
de la ACFE, Captulo Mxico, ilustra la misma.
dinmica del fraude informtico en una
dimensin internacional, as como los Finalmente, se presentan dos artcu-
retos que deben encarar los especia- los que buscan explorar y concep-
listas antifraude en el reconocimiento y tualizar la problemtica del fraude
control de este tipo de conductas, en informtico.
Latinoamrica y el mundo.
Por un lado, el ingeniero y magster
De manera complementaria, el inge- Joshua Gonzlez, profesor de la
niero y magster Andrs Almanza, Universidad de los Andes, detalla las
continuando con la tradicin de la diferencias entre el cibercrimen, el
Asociacin Colombiana de Ingenieros fraude y otras conductas delictivas
de Sistemas ACIS-, de ofrecer a la en el terreno digital, como funda-

SISTEMAS 5
mento para comprender las estrat- jurdico y social, sobre plataformas de
egias de seguridad y control inmersas productos y/o servicios digitalmente
en la dinmica de la inevitabilidad de la modificados.
falla, en el contexto de las organizacio-
nes a nivel nacional e internacional.

Por otra parte, este servidor, plantea


un anlisis del fraude informtico
como una realidad emergente, resul-
tado de la interaccin del tejido digital
interconectado, disponible en una
sociedad de la informacin y el
conocimiento, para lo cual propone el
pensamiento de sistemas como
aproximacin epistemolgica, con el
fin de motivar acciones convergentes
orientadas a detectar y procesar
conductas contrarias al ordenamiento

Jeimy J. Cano M., Ph.D, Ed.D(c), CFE. Ingeniero y Magister en Sistemas y Computacin por
la Universidad de los Andes. Ph.D in Business Administration por Newport University,
Especialista en Derecho Disciplinario por la Universidad Externado de Colombia y candidato
a Doctor en Educacin por la Universidad Santo Toms. Cuenta con un certificado ejecutivo
en gerencia y liderazgo del MIT Sloan School of Management, MA, USA. Profesional
certificado como Certified Fraud Examiner (CFE) por la Association of Certified Fraud
Examiners y Cobit5 Foundation Certificate por ISACA. Director de la Revista SISTEMAS de la
Asociacin Colombiana de Ingenieros de Sistemas ACIS.

6 SISTEMAS
XXXVI SALON DE INFORMTICA 2016
EMPRENDIMIENTO E INNOVACIN EN TI

LLAMADO A CONFERENCISTAS Y TRABAJOS


CUANDO Octubre 27-28 de 2016
Formato de entrega Contenido de la charla o ponencia en
formato libre, incluyendo un resumen de la
hoja de vida del conferencista
FECHA LMITE DE Agosto 1
PRESENTACION DE PROPUESTAS
Informe del Comit Acadmico Septiembre 1
Entrega de la versin definitiva Octubre 1
Objetivos

Este XXXVI Saln de Informtica de ACIS, tiene por objetivos principales: 1) fortalecer las
capacidades en emprendimiento e innovacin del gremio, con miras a responder a los retos
actuales de la economa nacional; 2) presentar casos y experiencias que ilustren a los
asistentes con ejemplos de la realidad nacional, 3) contribuir a la divulgacin de las
oportunidades y polticas gubernamentales, orientadas al sector de TI, y 4) servir de foro de
discusin de las temticas relevantes al gremio y servir de canal de comunicacin y transmisin
de las mismas a los entes participantes.

Contenido

La charla o ponencia propuesta debe enmarcarse en temticas directamente relacionadas con


el emprendimiento y la innovacin en las organizaciones:

Cmo lograr la innovacin en las organizaciones actuales?


Inhibidores de la innovacin
Mecanismos de apoyo a la innovacin organizacional
Retos y problemas tpicos que enfrentan los emprendedores
Cmo convertir la innovacin en emprendimiento?
Cmo preparar/adaptarse al mercado?
Cmo innovar con una estrategia digital para la organizacin?
Perfil / Frmula del emprendedor
Oportunidades para los emprendedores en los ODS: objetivos de desarrollo sostenible.
Emprendimiento social con TI
Casos y ejemplos de enfoques
Foro: economa del posconflicto en Colombia y oportunidades de emprendimiento en TI
Foro: teora y prctica en las oportunidades para los emprendedores nacionales

Calle 93 No. 13 - 32 of. 102


Bogot, D.C.
www.acis.org.co SISTEMAS 7
Entrevista

Fraude informtico:
preguntas y
respuestas
con Muna Dora
Buchahin Abulhosn
Mencionar su nombre significa indagar entre los pesos
pesados del fraude en el mbito de las tecnologas de la
informacin y las comunicaciones. A ella nada se le escapa.

Sara Gallardo M.

A Muna Dora Buchahin Abulhosn, del libro Auditora forense, delitos


abogada y doctora en Derecho, entre- contra la administracin pblica, no le
vistadora forense certificada, especia- cabe un ttulo ms en su hoja de vida.
lista en anticorrupcin, conferencista Son tantos, que citarlos todos le qui-
por todo el mundo, perito auxiliar en tara espacio a la esencia de esta
Criminologa del Tribunal Superior de entrevista: compartir con los lectores
Justicia del Distrito Federal en Mxico, su conocimiento y vasta experiencia al
con todas las acreditaciones interna- frente de 450 auditoras en los mbitos
cionales posibles, docente y autora pblico y privado y en ms de 243

8 SISTEMAS
dictmenes de casos presentados dad lo obligan a una actualizacin
ante autoridades penales y adminis- permanente para acreditar su exper-
trativas en Mxico, pas donde reside ticia, las competencias y las habili-
y es testigo de su arduo trajinar por los dades forenses para cualquier tipo de
laberintos de la seguridad de la infor- investigacin como especialista anti-
macin. fraude. Su actuacin se rige con los
ms altos estndares de tica, conoci-
La ms reciente noticia en su laureado miento y experiencia que contemplan
camino es el premio ACFE: Certified el dominio de diversas tcnicas foren-
Fraud Examiner of the Year Award ses, dado que el examinador de frau-
2016, entre los Certified Fraud des certificado (CFE) se integra en
Examiner CFE-, Examinador Certi- cualquier organizacin pblica o priva-
ficado de Fraude, de 208 captulos en da, independientemente de las distin-
el mundo. tas regulaciones legales a cada pas.

Semejante perfil, no poda producir


nada distinto a una serie de respues-
tas al cuestionario enviado por correo
electrnico, acompaadas de cifras,
grficos y conceptos.

Revista Sistemas: Cul es la


definicin que motiva el actuar de
un profesional certificado en
fraude?

Muna Dora Buchahin Abulhosn: es


un especialista en la prevencin,
deteccin, disuasin y la investigacin
de fraude ocupacional, entendido
como el uso de la propia ocupacin
para el enriquecimiento personal, a
travs del mal uso o el uso indebido de
los recursos o activos de la organiza-
cin, con la intencionalidad de
cometer un acto ilcito. El Manual del
Examinador lo define como: "...
todos aquellos medios complejos que RS: Desde su experiencia, cules
el ingenio humano puede concebir y a son los fraudes informticos ms
los que recurre un individuo para comunes?
sacar ventaja de otro, por medio de
falsas sugerencias o por supresin de MDBA: los ms recurrentes se
la verdad. Incluye toda sorpresa, vinculan con el llamado robo de
truco, astucia u ocultamiento, y identidad en sus diversas modalida-
cualquier forma injusta por la que el des. A travs de diferentes mecanis-
otro es engaado". Por lo tanto, el mos como el envo de correos spam,
entorno y la importancia de su activi- donde se le solicita al destinatario con

SISTEMAS 9
un correo engaoso, acceder a una envos de correos a personas espec-
liga de un sitio conocido seguro (el ficas (est dirigido al ataque) y son
cual en realidad es una copia del envos de remitentes o empresas que
original), y cuyo propsito es que el seguramente conoce el destinatario.
usuario ingrese datos personales Ante este escenario, es fcil que la
(usuario, contrasea, nmero de tarje- vctima crea como vlido el correo y
ta bancaria, etc.), para que stos sean proporcione la informacin solicitada,
robados y utilizados posteriormente ingresando a las ligas que se indican
para fines ilcitos, entre ellos el merca- en el correo o descargando un archivo
do negro o el robo o retiro de dinero de puntual. El uso indebido de los datos
cuentas bancarias. personales es ahora un riesgo uni-
versal inminente, en un potencial mun-
do de fraudes cibernticos que ha
afectado a gran nmero de organiza-
ciones y ciudadanos.

RS: El ambiente de la tecnologa


mvil, la nube y otros desarrollos
similares han hecho crecer el
fraude?

MDBA: en el mundo globalizado se


atrae el lado oscuro de los delitos
cibernticos. Segn datos del Informe
2016 de Ciberseguridad: Estamos
preparados en Amrica Latina y el
Caribe?, publicado por el Banco
Interamericano de Desarrollo (BID), de
una poblacin de 125 millones de
Tambin sucede que a travs del envo habitantes en Mxico, el 44% tiene
de correo spam, se puede anexar un acceso a internet (55 millones de
archivo electrnico, de tipo PDF o personas), terreno abonado para el
video o cualquier otro de uso comn. desarrollo colectivo, al generar comu-
Una vez que el destinatario lo abre, nicacin y mayor informacin en tiem-
puede descargar un archivo (malware) po real. Pero, son mayores los riesgos
que se instala en la computadora y una tanto para los usuarios como para las
vez instalado, puede estar enviando empresas, por la vulnerabilidad de los
toda la informacin que el usuario sistemas operativos de los dispositi-
teclea cuando visita sitios especficos, vos mviles (Android, IOs o Microsoft),
entre los ms comunes referidos a y de programas que pueden robar
bancos. informacin y transmitirla para fines
ilcitos.
La sofisticacin de las tcnicas de los
defraudadores para lograr mayor Los modelos de servicios en la nube,
impacto en sus objetivos, es perma- entre los que se cuentan: Software
nente. Existe una variacin denomi- como Servicio (Software as a service
nada spear-phishing, la cual realiza SaaS-); Plataforma como servicio

10 SISTEMAS
(Platform as a Service PaaS-) o dar para la implementacin de un
Infraestructura como Servicio (Infras- sistema de gestin de la seguridad de
tructure as a Service IaaS-), tambin la informacin), ISO 27017 (estndar
han presentado vulnerabilidades que para la aplicacin de controles de
los delincuentes informticos han seguridad de informacin en sistemas
explotado. Muchas de ellas, por el o servicios basados en computacin
descuido del usuario al dejar sesiones en nube) e ISO 27032 (Gua sobre
remotas abiertas o accediendo desde ciberseguridad), por mencionar algu-
redes no seguras, lo cual es aprove- nas.
chado para accesos no autorizados y
robos de informacin. Es muy importante mantener comuni-
cacin constante interna entre el
RS: Qu tipo de entrenamiento personal de la organizacin, para
deben tener las personas y empre- conocer la recurrencia y los modus
sas para enfrentar el fraude operandi de los fraudes informticos.
informtico? Esto servir como insumo para
actualizar las polticas de seguridad o
MDBA: desde el ms alto nivel configuraciones especficas de siste-
organizacional, resulta imprescindible mas o la infraestructura de la organi-
implementar una cultura de seguridad zacin. Estas actualizaciones deben
de la informacin, comunicar y sensi- ser permanentes y alineadas a la
bilizar a todo el personal en lnea organizacin.
vertical y horizontal, y no estrictamen-
te en el sentido de seguridad infor- Debo decir que en Mxico existen
mtica, sino incluir una sensibiliza- grandes oportunidades de trabajo para
cin permanente, vinculada en las dis- aquellos jvenes que deciden estudiar
tintas reas y con un protocolo de estas carreras profesionales, y que
alerta a los posibles riesgos y vulne- hay escasez de personal en esta
rabilidades, en caso de un incidente o materia. Se asegura un futuro promi-
contingencia. sorio y lleno de actividad intensa para
los talentos.
La capacitacin debe centrarse en
modelos de seguridad de la informa- Siga la entrevista completa en el
cin y normas internacionales que siguiente link:
permitan seguir un marco de referen- http://acis.org.co/portal/content/entrev
cia, como las ISO/IEC 27001 (estn- ista-muna-dora-buchahin-abulhosn

Sara Gallardo M. Periodista comunicadora, universidad Jorge Tadeo Lozano. Ha sido


directora de las revistas Uno y Cero, Gestin Gerencial y Acuc Noticias. Editora de Al
Computadores del diario El Tiempo. Redactora en las revistas Cambio 16, Cambio y Clase
Empresarial. Autora del libro Lo que cuesta el abuso del poder. Ha sido corresponsal de la
revista Infochannel de Mxico y de los diarios La Prensa de Panam y La Prensa Grfica
de El Salvador. Investigadora en publicaciones culturales. Gerente de Comunicaciones y
Servicio al Comensal en Andrs Carne de Res, empresa que supera los 1800 empleados;
corresponsal de la revista IN de Lanchile. En la actualidad, es editora en Alfaomega
Colombiana S.A., firma especializada en libros universitarios y editora de esta revista.

SISTEMAS 11
Columnista Invitado

Reflexiones sobre el
fraude personal
y corporativo
El nuevo mundo
interconectado genera tension
en trminos de seguridad y los
controles terminan siendo los
ms simples, guiados por el
sentido comn.

Juan Carlos Reyes M.

El vocablo latino fraus es aquel de ralmente utilizado para referirse a lo


donde deriva la palabra fraude, y su que comprende el mundo digital de los
signicado ms simple es el de la sistemas de informacin, incluso el
accin que resulta contraria a la internet.
verdad y a la rectitud.
Podramos sealar que es de esta
Partiendo de esta sencilla pero com- forma como etimolgicamente se con-
pletsima denicin, se ha desa- gura el ciberfraude. Pero, nada ms
rrollado una impresionante cantidad alejado de la realidad creer que el
de prejos para indicar de qu manera ciberfraude es slo una formacin de
se puede cometer cada tipo de fraude, palabras, cuando nuestra sociedad
hasta llegar a uno de los ms recien- actual es cada vez ms ciber depen-
tes que es el anglicismo ciber, gene- diente. Al nal, vivimos en un mundo

12 SISTEMAS
que mantiene las ms viejas costum- conforma el tringulo, porque es tan
bres (como el fraus), pero que tiene humano e inherente al ser, que incluso
todas las oportunidades de las nuevas nos brinda una dimensin adicional,
tecnologas (el ciber). sin la cual aun cuando existiera la
oportunidad y la motivacin, el humano
Una de las aristas ms apasionantes no cometera un fraude: la racionaliza-
en torno a este tema es darse cuenta cin.
de que la nica diferencia entre hace
100 aos y ahora, es slo el medio por Racionalizacin: cuando el defrauda-
el cual se produce. Donald Cressey en dor tiene la motivacin y la oportuni-
su libro The Theft of Nation establece dad, debe vencer una ltima barrera,
una de las teoras ms comnmente que es l mismo; debe auto convencer-
aceptadas hoy, sobre por qu la gente se de que el fraude que est a punto de
comete fraude, llamada el tringulo cometer no es ilegal y tiene que
de cressey que se apuntala en tres justicarlo, no para sus jefes o sus
conceptos bsicos: compaeros sino para s mismo. Esto
es lo verdaderamente excitante de la
Motivacin: qu es lo que motiva al teora de Cressey. El defraudador
defraudador a cometer el ilcito? Tal debe pensar que se MERECE lo que
vez tiene problemas econmicos, hace, culpando al sistema, a la socie-
alguna presin nanciera, gasta en dad o a su entorno. Frases como he
forma excesiva, mantiene un estilo de trabajado mucho y no lo reconocen o
vida en contrava con sus ingresos o nadie se dar cuenta o lograr
est forzado a conseguir dinero (para compensarlo antes de que se enteren
pagar alguna extorsin, por ejemplo). estn a la orden del da para satisfacer
la necesidad de racionalizacin del
Oportunidad: el defraudador, ade- individuo, como parte de la argumenta-
ms de la motivacin, tiene la oportu- cin que usar si alguien se reere al
nidad de cometer el fraude? Es tema.
alguien que tiene acceso al dinero, a
los bienes o que tiene la autonoma Bien sea que el defraudador tenga
para negociar con ellos y obtener un acceso al dinero fsico o al sistema de
benecio personal? Es el administra- informacin, esta conducta siempre es
dor de un sistema transaccional, con repetitiva, sea para fraudes tradiciona-
los privilegios para eliminar registros o les o informticos. Al nal no hay juez
abrir la puerta a los datos? ms duro que uno mismo.

Mucho hemos odo hablar en diferen- La evolucin de las tendencias de


tes escenarios acerca de la motiva- fraude presenta mltiples oportunida-
cin y la oportunidad y resulta lgico des a partir del desconocimiento y de la
entender que si las dos existen, el ingenuidad de las personas cuando de
fraude est hecho. Pero, la verdad es elementos informticos se trata. Nu-
que no es as. merosos estudios demuestran que las
poblaciones ms afectadas por el
Lo ms impactante de la teora de fraude digital son las personas mayo-
Cressey, aquello que la aleja de la res, los ancianos, sobre todo, en
lgica es el tercer elemento que cuanto al fraude nanciero; y menores,

SISTEMAS 13
en lo relacionado con el acoso en victimizacin, se convierte en un
lnea. Estos resultados tienen sentido objetivo ms apetecido por los ciberde-
si tenemos en cuenta que la poblacin lincuentes, pues al poder trazar al
que ha crecido conociendo internet y detalle sus actividades y perlar sus
las nuevas tecnologas es ms rutinas es posible determinar su perl
escptica frente a lo que encuentran econmico, social, profesional y
en lnea, que aquellos que no estn digital.
familiarizados con las mismas.
Los fraudes dirigidos a los usuarios de
Entrando en materia, desde nuestro tecnologa tienen como componente
observatorio de fraude hemos podido principal aprovechar la conanza
evidenciar cmo se han vuelto ms creciente que experimentamos en las
sosticados los ataques hacia la tecnologas de informacin, pues hoy
poblacin en general. Hace algunos toda nuestra vida est entre dos
aos era muy evidente que los correos aparatos que son el computador y el
electrnicos de phishing buscaban su telfono. Nuestra msica, nuestros
objetivo lo ms directamente posible, intereses, nuestras relaciones, nuestra
al solicitar abiertamente la contrasea informacin, nuestras fotos, nuestra
de acceso, mientras que hoy en da ubicacin, y en algunos casos, hasta
estos correos ni siquiera parecen nuestro dinero pueden estar en esos
estar interesados en ella, sino ms dos aparatos, lo que los convierte en
bien en informacin comn como objetivos de alto valor para escalar
datos de identicacin o georeferen- hacia fraudes ms globales, como,
ciacin. Incluso es ms probable que por ejemplo las corporaciones donde
busquen instalar alguna clase de trabajamos. Y es ah donde toma
malware en el computador o en el sentido el concepto del valor digital
telfono, con miras a monitorear las de una persona: qu hace dentro de su
actividades y/o crear redes zombis compaa, a qu tipo de informacin o
que atacan al unsono como botnets, activos tiene acceso, sumado a saber
una de las armas cibernticas ms si tiene la necesidad y la motivacin
letales debido a su estructura colabo- para cometer un fraude.
rativa.
Las redes sociales juegan un papel
Por supuesto el gran reto lo tiene el clave hoy en da en la preparacin de
usuario comn y corriente, pues cada fraudes, con la entrada del concepto
vez le es ms difcil identicar lo que de OSINT (Inteligencia de fuente
puede ser malware o no; las aplicacio- abierta) que se basa en la perlacin
nes que instala en su telfono por de las personas, a partir de su activi-
ejemplo pueden ser las ms inocentes dad en internet, principalmente en
y no saber cules son sus verdaderas sitios sociales donde publican detalles
intenciones: hemos encontrado apli- de su vida diaria. En internet existen
caciones para encender la linterna del herramientas y personas que cose-
telfono que al instalarse piden chan toda esa informacin para crear
permiso para acceder a la agenda de datos de tendencias en cuanto a
contactos del telfono, lo cual es intereses, informacin demogrca,
absolutamente innecesario. A mismo geogrca y muchas otras que, al nal,
tiempo que el usuario se expone a la facilitan desde el envo de publicidad

14 SISTEMAS
altamente dirigida (marketing) hasta la derechos fundamentales, la promulga-
sosticacin del phishing con datos cin de polticas de prevencin de
bastante especcos que podran fraude y las tcnicas para evitar la
llegar a engaarlo. colusin.

Por otro lado, no se puede separar el El anlisis adecuado de la cultura


fraude personal del fraude corporativo, organizacional, la identicacin de
toda vez que cuenta con los mismos competencias de las personas clave
actores, slo que en situaciones en la organizacin y una adecuada
diferentes en donde la persona puede gestin de cambio totalmente alineada
pasar de ser vctima a perpetrador, o con las competencias existentes y el
simplemente terminar siendo un sol- estilo de cultura organizacional propio,
dado en favor de organizaciones son factores determinantes para
criminales complejas. disuadir las posibilidades de fraude e
identicar de forma temprana dnde
En razn del trabajo que desarrolla- puede haber vulnerabilidades de
mos en AntiFraude hemos conocido carcter humano.
de primera mano muchas situaciones
de fraude que han sido facilitadas por Por otro lado, el ambiente de control
la tecnologa, bien sea porque sta ha debe proporcionar los mecanismos
sido modicada de manera maliciosa para identicar los fraudes, bien sea
por alguien que tena el acceso a ella o mediante el uso de lneas o la asigna-
simplemente porque funcionarios cin de recompensas por informacin
internos han aprovechado la oportuni- o tal vez mediante las auditoras y
dad cuando hay problemas tecnolgi- otros mecanismos de investigacin,
cos. En cualquier caso, los fraudes que permitan establecer cmo se
corporativos se siguen encuadrando presenta una conducta fraudulenta.
en las tres grandes categoras sugeri-
das por ACFE, en su reporte a las Finalmente, se deben tener adecua-
naciones: Corrupcin, apropiacin dos mecanismos de reaccin, para
indebida de activos y fraude en esta- que cuando se identique una situa-
dos nancieros, todos stos facilitados cin sea posible acceder rpidamente
por las cada vez ms numerosas a la causa raz de la misma para
herramientas informticas de que eliminarla y garantizar que no vuelva a
disponemos. suceder.

Si bien el fraude como conducta dentro Hoy en da, la evolucin tecnolgica ha


de una organizacin puede ser muy llevado inclusive a contar con herra-
difcil de acabar completamente, si es mientas adicionales para transferir el
posible disminuirlo a travs de los riesgo de fraude, como las plizas de
controles apropiados. Una efectiva seguro, en las cuales ya hay aproxima-
estrategia de control involucra por una ciones muy detalladas acerca de
parte, las acciones preventivas que coberturas para riesgo ciberntico. As
permitan disuadir el fraude como, por mismo, la tercerizacin de procesos
ejemplo, la ubicacin de elementos de operativos toma un papel protagnico
monitoreo (audio, video, informtico) en la transferencia del riesgo, bajo la
dentro del marco de la ley y de los premisa de que puede ser ms expedi-

SISTEMAS 15
to tomar acciones legales contra un Por otro lado, todos los das, tanto a
proveedor que ha cometido fraude, ttulo personal como corporativo,
que contra un empleado. producimos demasiada informacin
hacia la red y siempre hay alguien que
En conclusin, no podemos separar el est tomndola para perlar las
fraude que afecta a las personas actividades y conocer a los potencia-
comunes y corrientes, del fraude que les objetivos. Sin embargo, en medio
afecta a las organizaciones. Las herra- de toda la preocupacin que puede
mientas tecnolgicas para ejecutar generar el nuevo mundo interconecta-
diversos esquemas de fraude comple- do en el que vivimos, las soluciones
jos estn a la orden del da y la realidad siguen siendo las ms simples, y estn
es que se pueden conseguir a muy en el sentido comn.
bajo costo en la red cuando se sabe a
dnde buscar.

Juan Carlos Reyes Muoz. Director de la firma Grupo Schart Latinoamrica especializada
en seguridad de la informacin aplicada al fraude, mediante la marca AntiFraude.
Miembro de la Asociacin de Investigadores de Crmenes de Alta Tecnologa
(www.htcia.org), de ACFE (www.acfe.com), auditor lder de ISO 27001 y delegado para el
comit JTC1/SC27 de ISO en representacin de INLAC, con una experiencia de ms de 15
aos en seguridad de la informacin en diferentes instituciones financieras, de seguros, de
servicios y gubernamentales alrededor de Amrica Latina.

16 SISTEMAS
RUEDA DE NEGOCIOS ACIS 2016
EMPRENDIMIENTO E INNOVACIN EN TI
Octubre 26 de 2016
Objetivos

En el marco del Programa en Emprendimiento e Innovacin en TI de la


Asociacin, el 26 de Octubre se llevar a cabo la Rueda de Negocios
y Emprendimientos en TI. Esta rueda de negocios se orienta y
especializa en emprendimientos basados en las tecnologas de
informacin, productos y servicios asociados.

Los objetivos de la Asociacin con esta rueda de negocios son: 1)


contactar emprendedores nacionales con inversionistas y empresas
de capital de riesgo interesadas en el sector de TI; 2) fortalecer las
capacidades de los emprendedores de TI asistentes, y 3) facilitar los
procesos de seleccin y negociacin a los inversionistas interesados.

Al desarrollarse la rueda de negocios durante la realizacin del


programa en emprendimiento e innovacin, los emprendedores
inscritos podrn participar (un cupo) igualmente en el Saln de
Informtica, que se llevar a cabo los das 27 y 28 de Octubre.

Cronograma

Inscripciones a la rueda Abril 1 Septiembre 30


Servicios de anlisis y evaluacin de
Agosto 1 Septiembre 30
portafolio
Rueda de negocios Octubre 26
2-6 pm
Saln de Informtica en
Octubre 27-28
emprendimiento e innovacin

Calle 93 No. 13 - 32 of. 102


Bogot, D.C.
www.acis.org.co SISTEMAS 17
Investigacin

Tendencias 2016
Encuesta nacional de
seguridad informtica*
Retos de la ciberseguridad.
Andrs Ricardo Almanza Junco, M.Sc.

La encuesta nacional de seguridad un instrumento referente para Co-


informtica, captulo Colombia, reali- lombia y Latinoamrica, en la medida
zada por ACIS a travs de Internet, en que llama la atencin de todos los
cont con la participacin de 121 sectores interesados en los temas
encuestados, quienes con sus res- relacionados con la seguridad.
puestas permiten conocer la realidad
del pas. Agradecemos de manera muy espe-
cial a la Organizacin de Estados
Este estudio cumple con varios pro- Americanos (OEA), por su apoyo en
psitos. En primer lugar, muestra el la difusin y distribucin de la
panorama de las organizaciones co- encuesta en todos sus Estados
lombianas frente a la seguridad de la miembros. As mismo, a la organiza-
informacin y/o ciberseguridad, y su cin.CO, por su colaboracin en el
respuesta a las demandas del ento- mismo sentido, entre las diferentes
rno actual. En segunda instancia, es comunidades.
18 SISTEMAS
Metodologa las organizaciones relacionadas con la
seguridad de la informacin y/o ciber-
El anlisis presentado a continuacin seguridad, como tendencia no slo
se desarroll con base en una mues- global, sino nacional.
tra aleatoria y de manera interactiva, a
travs de una pgina web dispuesta Por otra parte, se busca saber cmo
por Acis, para tal fin. Considerando las las organizaciones han venido enfren-
limitaciones, en trminos de tiempo y tando la anomala del momento, el
recursos disponibles, se han tenido en Ransomware, el cual ha tenido gran
cuenta los aspectos ms sobresalien- injerencia a nivel global; adems de
tes de los resultados obtenidos, en indagar si han incluido en sus conside-
procura de mostrar a los lectores las raciones frente a la cadena de
tendencias identificadas. servicios en materia de la seguridad de
la informacin y ciberseguridad, estas
Lo nuevo nuevas tendencias de monitoreo
inteligente de amenazas.
En este 2016 el formato oficial de la
encuesta cuenta con algunas modi- Con relacin a los estndares la
ficaciones. Contempla una nueva encuesta busca saber cmo las
pregunta y adicin de opciones en las industrias han optado por modelos
actuales, as como una revisin sobre actuales, cules son los ms usados,
lo evaluado ao tras ao, en la adems de observar referentes para la
bsqueda de conocer mejor el am- construccin de sus programas de
biente que viven las organizaciones seguridad que los apoyen en la cons-
colombianas y latinoamericanas, en el truccin de una cultura, gobierno y
marco de la seguridad de la infor- gestin de la seguridad en las organi-
macin y/o ciberseguridad. zaciones.

En primer lugar, fue complementada Por ltimo y no menos importante, este


con la cantidad de sectores, incluyen- estudio pretende determinar cules
do al de Retail/Consumo masivo, toda son las nuevas apuestas en materia de
vez que una de las tendencias inter- preparacin del personal responsable
nacionales vigentes y cada vez ms de seguridad; dnde ven las organiza-
desarrolladas es el ataque a los POS o ciones que sus grupos de trabajo
puntos de ventas, de ah el inters en pueden incrementar sus conocimien-
conocer la realidad en dicho sector. tos; y, a travs de cules estudios y/o
certificaciones, pueden apoyar sus
De igual manera, contempla la procesos internos.
ampliacin en el conjunto de roles y
responsabilidades del Chief Informa- Retos y desafos
tion Security Officer CISO- o Director
de Seguridad de la Informacin, frente Las crecientes anomalas electrni-
a un escenario digital cada vez ms cas, unas regulaciones vigentes, unas
complejo, dinmico, voltil e incierto. tecnologas de proteccin cada vez
As mismo, dentro de las ampliaciones ms limitadas y una mayor dependen-
de la encuesta est conocer qu tipos cia de la tecnologa en la forma de
de cargos se han venido creando en hacer negocios, muestran cmo la

SISTEMAS 19
necesidad de proteger la informacin En este contexto, cada vez ms
es ms relevante. incierto, son necesarios pensamientos
amplios que involucren a los actores y
En esa misma ptica se observan los lleven a pensar en un replantea-
unos ejecutivos de la seguridad ms miento de la proteccin de la informa-
preocupados por utilizar lenguajes cin, sin perder de vista lo ya alcan-
cercanos a la organizacin, para zado, para enfrentar la realidad y el
proveer soluciones que armonicen las contexto en el que el mundo se
relaciones de funcionalidad y desenvuelve.
proteccin, dentro del marco del nego-
cio. Datos generales

Este estudio muestra el afianzamiento En esta seccin estn los datos ms


de la ciberseguridad, que ha permea- relevantes de la encuesta, relaciona-
do en las empresas como una visin dos con la demografa de los parti-
hacia la redefinicin de lo ya identifica- cipantes y sus relaciones con la
do, que saca de la zona de confort a seguridad de la informacin.
las organizaciones y las lleva a
plantear nuevos interrogantes acerca La grfica 1, muestra la comparacin
de la forma como deben ser tratados de los aos 2016, 2015 y 2014 en
los riesgos a los que se ven expues- relacin con los participantes de la
tas. encuesta. Se puede observar que en el

Sectores

Grfica 1. Sectores participantes


20 SISTEMAS
Tamaos

Grfica 2. Tamaos de las empresas

ao 2016 la participacin del sector anterior, as como el sector de hidro-


financiero fue la ms nutrida y frente a carburos, el cual disminuy su partici-
aos anteriores inclusive creci. Dos pacin en un 5%, frente a aos ante-
sectores que disminuyeron su partici- riores.
pacin fueron el sector del gobierno,
que slo obtuvo un 13% este ao, y Para este ao, la distribucin de las
disminuy en forma considerable, en empresas es diversa. La mayor partici-
un 7%, frente al ao inmediatamente pacin la tienen las empresas de 1001

Grfica 3. Dependencia de la seguridad


SISTEMAS 21
a 5000 empleados (33%); le siguen cin (6%), crece en 1% para las otras
lasempresas de 201 a 500 empleados reas, como director de seguridad
(16%); luego las compaas mayores informtica, gerente de riesgos, geren-
a 5000 empleados (15%).Por un lado, te de planeacin, gerente de cumpli-
refleja la voluntad de los participantes miento. Indica tambin una tendencia
en aceptar la encuesta y, por otro, a tercerizar la seguridad, como una
indica que la ciberseguridad y/o segu- alternativa en las organizaciones.
ridad de la informacin son temas
interesantes, adems de advertir Cargo de los encuestados
sobre la importancia de conocer la
realidad del pas y la regin. La grfica 4, muestra los cargos de las
personas que han contestado la
Dependencia de la responsabilidad encuesta, divididos en cuatro reas.
en seguridad Los cargos asociados a las reas de
tecnologas de informacin, 38%; los
En la grfica 3, se muestra de quin cargos relacionados con seguridad de
depende la responsabilidad de la la informacin, 38%; los que corres-
seguridad en la organizacin. Se ponden a las reas de control, 16%; y,
observa que cada vez ms la segu- por ltimo, los cargos de niveles
ridad de la informacin, deja de ejecutivos equivalentes a un 8% del
depender de las reas de tecnologa y total de la poblacin encuestada.
pasa a otras reas de la organizacin;
as mismo, mientras decrece la Para este ao, el incremento es de un
dependencia de la seguridad de un 2%,frente al perodo inmediatamente
director de seguridad de la informa- anterior, en lo que se refiere a los

Grfica 4. Cargo de los encuestados

22 SISTEMAS
cargos en seguridad de la informacin con la tendencia mundial, segn datos
y niveles ejecutivos de la organiza- de la encuesta de Seguridad de la
cin. Este panorama muestra cmo firma PwC [5], en la que el 54% de los
ha ganado terreno la seguridad de la encuestados tiene un responsable de
informacin, dentro de las empresas seguridad a cargo. En Colombia, el
en la realidad colombiana. Ya tiene su 48% dice tener un CISO y el 27% un
propio espacio y madura con el Oficial de Seguridad Informtica. De
tiempo. As mismo, vemos cmo ao esta manera, se ve reflejada la realidad
tras ao la encuesta muestra las dife- global de tener un responsable a cargo
rentes interpretaciones de la seguri- que vele por los intereses relacionados
dad de la informacin en las organi- con la proteccin de la informacin y le
zaciones colombianas. muestre a la organizacin los riesgos a
los que se puede ver expuesta
Top de hallazgos
3. Dentro del conjunto de nuevas
Esta seccin muestra las variaciones actividades realizadas por los respon-
ms importantes de los resultados de sables de seguridad, est velar por la
la encuesta, desde las variaciones proteccin de la informacin personal,
ms positivas, hasta lo que ms toda vez que las regulaciones nacio-
decreci, comparando los resultados nales como la ley 1581 en sus decretos
de este ao con el 2015. reglamentarios as lo exige y cada vez
ms se ven enfrentados a responder
En las tablas se encuentra descrito el por los entes de control en este senti-
tem general, en la primera columna; do. Segn informe de la firma PwC[6],
la segunda columna describe las el cibercrimen crece en un 32%, y uno
opciones y la tercera muestra la de los factores claves est en el robo
variacin con relacin al ao anterior. de informacin personal, razn por la
cual es necesario que las responsabili-
Las mayores variaciones positivas dades del encargado de seguridad
(Tabla 1) estn relacionadas con la proteccin
de la informacin personal, como una
Anlisis y comparaciones de las nuevas responsabilidades de
los encargados de la seguridad
De la tabla anterior se puede extraer lo
siguiente: 4. Segn datos de la encuesta de Ernst
& Young[7], un 42% de los encues-
1. El rol de primer respondiente se tados reconoce los activos de informa-
viene adoptando en las organizacio- cin como una pieza clave, en trmi-
nes para este ao como una de las nos de la proteccin de la informacin,
nuevas responsabilidades de los adems del valor que tienen las
oficiales de seguridad. declaraciones formales entorno a la
identificacin de activos de informa-
1. En Colombia, el rol de Oficial de cin; tendencia que se ve reflejada en
Seguridad Informtica es lo que ms Colombia. En este ao, los encuesta-
predomina en las organizaciones, en dos el 71% de los encuestados reco-
el momento de crear el cargo para un noce la prctica de la formalidad de
responsable de seguridad; coincide una directriz, establecida y reconocida

SISTEMAS 23
Tabla 1

tem Descripcin Variacin frente al ao (2015)


1. Roles en la organizacin
Primer respondiente / gestionador de incidentes de
seguridad, este rol creci de manera importante 17%
frente al ao inmediatamente anterior.
Es el rol de Ocial de Seguridad Informtica (ISO),
otro de los roles que la organizacin mas a 9%
desarrollado en Colombia y crece frente a aos
anteriores.
2. Actividades realizadas por el responsable de seguridad
Velar por la proteccin de la informacin personal
13%
Seguimiento de prcticas en materia de proteccin
de la privacidad de la informacin personal 12%
Evaluar la eciencia y efectividad del modelo de
seguridad de la informacin 8%

3. Activos de Informacin
Las organizaciones cuentan con declaraciones
formales relacionadas con los activos de 11%
informacin

4. Informacin de fallas de seguridad

Noticacin de proveedores 9%

Noticacin de colegas 8%

5. Mecanismos utilizados

SIEM (Security Information Event Management) 8%

Las herramientas Anti-DDOS 7%

6. Conciencia de la alta direccin


La alta direccin entiende y atiende
7%
recomendaciones en materia de seguridad de la
informacin.
7. Noticacin de los incidentes de seguridad

Autoridades locales/regionales. 7%

24 SISTEMAS
en la organizacin como un buen cabo por ellos, en la que un 19% de los
ejercicio, para poder gobernar de una encuestados dice tener un SIEM
mejor manera los datos, la informa- implementado completamente en sus
cin, el conocimiento y con ello tener organizaciones para el tema de
mejores capacidades de competencia control. Por su parte, la firma de EY en
en un entorno digital tan cambiante su informe anual, advierte que slo el
como el actual. 21% de los encuestados tiene un SIEM
para monitorear las redes frente a las
5. La cooperacin ha introducido en el anomalas. Esto confirma que en la
mundo de la seguridad una nueva realidad nacional se est viendo a los
dinmica que permite a las organiza- SIEM como un instrumento vlido a la
ciones, de una manera ms consis- hora de pensar en un control que
tente, enfrentar las amenazas de hoy apoye la prevencin de los riesgos
en da. En este ao estos ejercicios se digitales.
ven reflejados a travs de la forma en
cmo se notifican las organizaciones 6. La conciencia de la seguridad es
de los fallos de seguridad. Por un lado, otro de los tems que vari de manera
el 45% de los encuestados reconoce importante este ao para Colombia. El
hacerlo por sus proveedores; el estu- 29% de los encuestados manifiesta
dio indica el fortalecimiento de las que sus niveles directivos entienden y
relaciones con ellos. El 43% seala atienden recomendaciones, en mate-
que se entera de las fallas de seguri- ria de seguridad. Tendencia que se ve
dad por sus colegas. reflejada en el informe de Ciberse-
guridad realizado entre ISACA y
La tendencia global, segn la encues- RSA[8], en el que se reporta que el
ta de PwC [5], muestra los beneficios 36% de los encuestados dice que sus
relacionados con la cooperacin: con miembros de alta gerencia estn muy
los pares de la industria, con la comprometidos con la seguridad. De la
autoridad y con el Gobierno, lo que les misma manera, lo expresa la firma
permite mejorar sus capacidades para PwC en su informe anual [5], en el que,
entender mejor la realidad en la que se cerca de 45% de los encuestados,
desenvuelve el mundo de la ciberse- considera que sus juntas directivas se
guridad. En esta misma perspectiva, encuentran participando en la realidad
los encuestados en Colombia sealan de la seguridad. As las cosas, en
como herramientas de control con Colombia la realidad contempla la un
mayor crecimiento inters por la seguridad, ms all de un
reto tecnolgico y la ven como un
En Colombia las herramientas de aliado en las juntas, que consideran el
control con mayor crecimiento a los trmino de riesgos de informacin,
SIEM (25%), y las herramientas Anti- como una nueva responsabilidad que
DDOS (16%).Se observa un creci- los acerca a la realidad actual.
miento significativo de su uso, frente al
ao inmediatamente anterior. Las Las mayores variaciones negativas
tendencias internacionales mues-tran (Tabla 2)
a los SIEM dentro del espectro, como
lo hace el Reino Unido [7], a travs de Son aquellos criterios considerados
la encuesta de seguridad llevada a este ao por los encuestados, como

SISTEMAS 25
los menos importantes. Su variacin de los ejercicios corporativos de
frente a aos anteriores es negativa. gestin de riesgos. Sorprende el
decrecimiento de esta respuesta, en la
Anlisis y comparaciones que slo el 29% de los encuestados
manifiesta que el ejercicio se realiza
De la tabla anterior vale la pena dentro de la visin corporativa de la
destacar lo siguiente: gestin de riesgos. La tendencia
global, segn la firma PwC[5] est
1. Solo el 39% de los encuestados relacionada con que el 91% de los
manifiesta que sus reas de segu- encuestados manifiesta tener un
ridad poseen recursos definidos entre marco de gestin de riesgos y ve los
uno y cinco, mientras que en el ao beneficios de tenerlos, frente a la
2015 en Colombia, el 64% de los cirberrealidad a la que se enfrentan las
encuestados reconoci esa misma organizaciones.
cantidad de recursos. Los datos
globales muestran una tendencia 3. Cada vez ms los encuestados
contraria, segn datos de la encuesta reconocen el valor de las certificacio-
global del Reino Unido [7]. Lo positivo nes como un plus o mecanismo
de la lectura para este ao est adicional de soporte para validar
relacionado con dos temas. Primero, competencias, a la hora de llegar a los
disminuyen en un 3% los encuestados cargos de seguridad. Por ello, slo el
que manifiestan no tener ningn 19% de los encuestados respondi
recurso dedicado a la seguridad, que dentro de los perfiles existe
reforzado con la tendencia mundial a personal certificado en seguridad de la
tener reas de seguridad, formadas y informacin; en comparacin con el
establecidas. Crecen en un 4% las ao anterior que el 37% manifestaba
reas de seguridad de ms de 15 no poseer ninguna certificacin para
personas y eso est cerca de la desempear el rol relacionado con la
tendencia global cercana al 10%. proteccin de la informacin.

2. Para este ao la gestin de riesgos 4. En materia de presupuestos se


no fue reconocida como una herra- tienen respuestas interesantes. Por
mienta indispensable, dentro del ejer- una parte, slo el 25% de los encuesta-
cicio de la proteccin de la informacin dos manifiesta no saber cul es el
en la realidad Colombiana. Solamente monto asignado para la seguridad al
el 30% de los encuestados manifest ao, comparado con 2015 que fue de
realizar un ejercicio de evaluacin de un 42%. La lectura que se hace de esto
riesgos al ao, comparado con el 49% es que cada vez ms los responsables
de los encuestados del ao anterior, de seguridad tienen la responsabilidad
quienes manifestaron haber realizado y manejo del control de un presu-
el ejercicio. As mismo, slo el 11% puesto slo para la seguridad. De la
manifest realizar el ejercicio dos misma manera, slo el 12% de los
veces al ao, frente al 27% del ao encuestados afirma que lo asignado
anterior. Y la tercera situacin es que en materia de seguridad, del total del
al momento de indagar sobre las presupuesto de la organizacin est
razones para no realizarlo, una de entre el 0% y 2%, comparativamente
ellas es reconocer que se hace dentro con 2015, en que el 26% de los

26 SISTEMAS
Tabla 2

tem Descripcin Variacin frente al ao (2015)


Recurso humano dedicado a la seguridad.
Para este ao slo el 39% de los encuestados maniesta
tener reas de seguridad con recurso humano entre 1-5, con -25%
dedicacin exclusiva a dichas responsabilidades.
Gestin de riesgos.
Este ao slo un 30% de los encuestados maniesta realizar
-19%
una vez al ao el ejercicio de riesgos.
De igual manera, sobre la realizacin de dos pruebas al ao,
el estudio actual registra un 11%.
-17%
Slo el 29% de los encuestados, manifest tener un modelo
integral de riesgos para analizar y visualizar los riesgos de -15%
seguridad.
Certicaciones posedas.
Este ao baj a un 19%, el grupo de personas que
-18%
maniesta no poseer algn tipo de certicacin.

Presupuestos de Seguridad
Slo el 25% de los encuestados manifest no conocer o
contar con la informacin acerca de los montos asignados a -17%
la seguridad.
Este ao solamente el 12% reconoce que sus inversiones,
en materia de seguridad de la informacin, estn entre el 0%
y el 2% de los presupuestos de la organizacin, comparados
con el 26% del ao 2015. Es interesante ver la tendencia de -14%
contemplar un recurso nanciero suciente para una
inversin, frente a la proteccin de la informacin.
Este ao, slo el 12% de los encuestados reconoce que sus
presupuestos asignados para la proteccin de la -14%
organizacin, estn por debajo de los US$20.000 dlares
americanos.
Polticas de seguridad
Para este ao, slo el 42% de los encuestados reconoce que -17%
la organizacin posee formalmente una poltica de seguridad

Regulacin digital

Esteao el 22% de los encuestados maniesta no estar -16%


sujeto a regulacin de ningn tipo.

Incidentes de seguridad

Este ao el incidente instalacin de software autorizado, slo


se registro en el 38% de los encuestados. -13%

SISTEMAS 27
encuestados afirmaba que ese era el riesgos de la ciberseguridad como un
valor del presupuesto. Por ltimo, un factor clave, pero se ven poco maduras
12% de los encuestados afirma que el en el sostenimiento de un framework
presupuesto de seguridad asignado de polticas y estn-dares que le
para el ao 2015 estaba por debajo de ayuden en la construccin de un
los $US 20.000 dlares americanos. Al modelo de gobierno y gestin alre-
comparar con los datos de perodos dedor de la seguridad. Una realidad
anteriores, el 25% de los encuestados muy similar es la que plantea la
manifestaba que sus presupuestos encuesta de seguridad realizada en el
asignados estaban en esos rangos. Reino Unido, donde el 72% de los
As las cosas y frente a las tendencias encuestados considera la madurez de
mundiales, tenemos organizaciones sus polticas y frameworks de segu-
ms comprometidas con las inver- ridad no adecuados, y slo un 26%
siones en seguridad de acuerdo con considera maduras sus polticas de
las tendencias internacionales. Segn seguridad de la informacin. As las
la firma PwC[5], el promedio de los cosas, es necesario que las organi-
presupuestos en seguridad crece en zaciones refuercen y redoblen sus
un 24%. De igual manera, al revisar la esfuerzos por mantener sus polticas
informacin del informe de seguridad de seguridad y frameworks, como parte
realizado por la firma ISMG[9], el 57% de sus elementos claves en materia de
indica que sus presupuestos cambia- proteccin de la informacin.
rn y aumentarn y, el 34%, afirma que
se mantendrn estables. En Colom- 6. Resulta interesante este ao
bia, el crecimiento de los presupuestos observar que en la realidad nacional
asignados para este ao, est un 4% slo el 22% de los encuestados
por encima de los $US130.000 dlares manifiesta no estar sujeto frente a una
americanos. regulacin o normativa, en trminos
de seguridad de la informacin,
5. Este ao solo el 42% de los comparado con el ao anterior, en que
encuestados reconoce tener una el 38% de los encuestados manifest
poltica escrita, aprobada por la no estar sujeto. La interpretacin para
direccin e informada a todo el la realidad nacional es ver cmo las
personal, comparado con el perodo organizaciones van entendiendo de
anterior, en que el 60% de los una mejor manera su contexto y cmo
encuestados reconoci esta realidad. las regulaciones nacionales o interna-
Se observa lo contrario en la formalidad cionales les permiten tener una visin
de los procesos de seguridad de la en lo relacionado con la seguridad de
informacin en las organizaciones, si la informacin. Marcos normativos
se reconoce la necesidad por entender como la Ley 1581 o de proteccin de
la seguridad pero, sin el formalismo datos personales, la Ley 1712 o Ley de
que requiere. Tendencia que a nivel transparencia, as como el nuevo
global se mantiene igual como se ve en CONPES de ciberseguridad, son
el informe de Ernst & Young que indica marcos que ponen de manifiesto una
que la madurez de sus encuestados en atencin plena en las organizaciones,
este tema es baja. El informe describe frente a los actuales escenarios tan
que las organizaciones reconocen la exigentes, relacionados con los ries-
seguridad, adems de entender los gos en entornos cibernticos.

28 SISTEMAS
Lo nuevo 2. En la pregunta relacionada con la
responsabilidad en materia de segu-
Esta seccin contempla los nuevos ridad de la informacin, se agrega una
tems de esta versin de la encuesta; opcin, como resultado del estudio del
en este ao no se incluyen sino 2015, donde se evidenci la necesidad
opciones nuevas dentro del cuerpo de de incluirla.
preguntas existentes.
a. Informar a la alta gerencia sobre el
A continuacin se relacionan por avance del programa de seguridad
categora los tems incluidos, y las de la informacin.
grficas muestran los resultados de
las opciones adicionadas. 3. Por ltimo, en la pregunta relaciona-
da con los sectores econmicos, se
La seccin de demografa contempla: adiciono una opcin.

1. En la pregunta relacionada con los a. Sector de Retail / Consumo


roles de seguridad de la informacin masivo.
se agregan dos nuevas opciones, con
el fin de poder saber con mayor En el grafico 5, estn representados
precisin el tipo de roles que las los valores obtenidos este ao en
organizaciones han venido implemen- estos temas.
tando en relacin con la proteccin de
la informacin. Estos son: En la seccin de fallas de seguridad,
se incluyo la opcin de Ransomware,
a. Analista de seguridad de la como lo evidencian las tendencias
informacin mundiales de amenazas y los informes
b. Analista de seguridad informtica de amenazas de Cisco [2], Forcepoint

Grfica 5. Demografa

SISTEMAS 29
[3], IBM [3]. Forcepoint[3], estima que cios de inteligencia de amenazas [3],
el negocio alrededor del Ransomware en donde algunas organizaciones van
est en $US325 millones de dlares. ms all de un SIEM y los proveedores
han construido a travs del aprendiza-
Cisco Security [2], considera el je y el Big Data, modelos ms
Ransomware como una tendencia de inteligentes para la deteccin de las
anomalas que debe ser entendida y amenazas de la organizacin
abordada. Los datos de Cisco revelan
que Angler, en un 60% de su distribu-
cin, contena algn tipo de Ransom-
ware y los ingresos totales por tal
concepto son cercanos a los $US34
millones de dlares.

En el caso de Colombia se tienen los


siguientes datos.

Grfico 7. Herramientas y prcticas


de seguridad.

As las cosas, la realidad nacional


identific en un 11% que s es utilizado
este mecanismo de control como una
alternativa vlida para la deteccin
temprana en pro de la prevencin,
mejorando as sus ambientes reac-
tivos y permitiendo conocer de una
Grfico 6. Fallas de Seguridad mejor manera a sus adversarios
digitales.
Se quiso evaluar la presencia del
malware tipo Ransomware dentro del En la seccin de polticas de seguridad
conjunto de incidentes de seguridad de la informacin se agregaron las
en las empresas y, efectivamente, se siguientes opciones.
confirma la tendencia mundial de
considerarlo como una de las anoma- En la pregunta relacionada con los
las presentada en nuestra realidad, obstculos para lograr una adecuada
con un 17%. Con ello se confirma que seguridad de la informacin:
las tendencias se aplican de manera
global y no discriminan regiones ni a) Ausencia o falta de cultura en
horizontes. seguridad de la informacin.
b) Escasa formacin en gestin
En la seccin de herramientas y segura de la informacin.
prcticas de seguridad, se incluy un
mecanismo nuevo que est siendo En la pregunta relacionada con los
utilizado en la industria y son los servi- tipos de metodologas de gestin de

30 SISTEMAS
Grfico 8. Polticas de Seguridad

riesgos se incluyeron las siguientes 1. Obstculos para el desempeo de la


opciones: seguridad de la informacin en la
organizacin, reflejada en un 39% de
a) ISO 27005 las respuestas de los encuestados.
b) SARO Adems de la escasa informacin en
c) ERM gestin segura de la informacin.

Por ltimo, en la pregunta relacionada 2. Tipos de metodologas en materia


con la utilizacin de buenas prcticas de gestin de riesgos. En ella se
en materia de seguridad de la incluyeron ISO 27005(21%), SARO
informacin se incluy, la siguiente (9%) y ERM (7%) como nuevos
opcin: mecanismos utilizados por las organi-
zaciones para realizar sus ejercicios
a) PCI-DSS de gestin de riesgos. Los datos
muestran que ISO 27005 e ISO 31000
Estas opciones deciden incluirse son los utilizados por las organiza-
luego del estudio realizado ao ciones en Colombia en la identificacin
anterior, donde se evidenci que de sus riesgos en materia de segu-
encontraban identificadas por los ridad de la informacin.
participantes como otras alternativas.
3. Buenas prcticas de la industria. En
La Grfica 8,muestra los resultados de este tem se incluy a PCI-DSS como
los tres elementos incluidos. parte del conjunto de opciones, tenien-
do como resultado que el 11% de los
Los resultados son los siguientes: encuestados lo usa frecuentemente
SISTEMAS 31
como conjunto de buenas prcticas, poseer dicha certificacin; el 46%
en materia de proteccin de la infor- considera que debera tenerla para el
macin. desarrollo de las funciones de
seguridad de la informacin.
La seccin de capital intelectual
contempla los siguientes elementos: Por ltimo, est la ms reciente
certificacin creada para atender los
Sobre las certificaciones de los temas de ciberseguridad de ISACA
profesionales de seguridad: CSX (Cyber Security Nexus); en la
a) Auditor ISO 27001 (Lder y/o actualidad, los participantes no po-
Interno) seen dicha certificacin, pero el 1% s
b) CEH (Certified Ethical Hacker) considera que se debera tener, para
c) CSX Cybersecurity Nexus poder desempear las funciones de
seguridad en la organizacin.
La Grfica 9, muestra que hoy la
certificacin de Auditor Lder/Interno Tendencias
ISO 27001 es tenida por los profesio-
nales de seguridad con un 44% de Variaciones en tipos de incidentes
aceptacin. A la pregunta de si sera
importante esta certificacin para el La grfica10 muestra las variaciones
desarrollo de las funciones de segu- de los tipos de anomalas que se
ridad, un 57% considera que s es as y manejan y cmo han evolucionado
que por tanto es deseable que los desde el ao 2014, hasta la fecha.
profesionales la tengan. Dentro de la grfica hay tres datos
interesantes:
El otro tem evaluado es la certificacin
CEH (Certified Ethical Hacker), hoy el 1. El Ransomware como una de las
26% de los encuestados manifiesta anomalas.

Grfica 9. Capital Intelectual

32 SISTEMAS
Grfico 10. Anomalas

2. La disminucin frente al ao 2. Hay una disminucin frente al ao


anterior, de la instalacin de software anterior de los mecanismos estndar.
no autorizado, mostrando que las
organizaciones han mejorado los 3. Existe un crecimiento en ciertas
controles, con relacin a este tipo de tecnologas. Entre ellas, los sistemas
prcticas. biomtricos; los SIEM como herra-
mientas integrales de monitoreo; los
3. Contina el crecimiento del firewall de bases de datos que su
Phishing, como una de las anomalas crecimiento se puede relacionar con la
ms usadas, inclusive para este ao, aplicacin de los marcos regulatorios
ratificando con ellas las tendencias nacionales; las herramientas Anti-
mundiales como una de las tcnicas DDOS, toda vez que estos tipos de
de ataque ms comn en la actua- ataques estn dentro del conjunto de
lidad. ataques retadores en su control. Y por
ltimo, los ciberseguros, una tenden-
Herramientas de proteccin cia que sigue emergiendo como meca-
nismo frente a las ciberamenazas a las
En la grfica11, se muestra la que las organizaciones se enfrentan
evolucin de los mecanismos de en su da a da.
proteccin y su revisin con el ao
inmediatamente anterior. Vale la pena En resumen, la seguridad de la
sealar los siguientes puntos: informacin exige un enfoque multidi-
mensional para ver desde todas las
1. Siguen siendo las soluciones aristas, no slo las tcnicas a la
AntiMalware, sistemas de contrase- proteccin de la informacin como un
as, Vpns, y firewalls tradicionales, instrumento que le permita a la orga-
los mecanismos de control ms nizacin avanzar de una manera ms
usados en la realidad nacional. consistente en los nuevos entornos

SISTEMAS 33
Grfico 11. Mecanismos de proteccin.

digitales, sino tener en cuenta su se encuentran en el radar de los ejecu-


permanente transformacin. De esa tivos. As mismo, encontramos ms
forma, los riesgos y amenazas que van CISO's con capacidades de venta y de
mostrando las nuevas realidades, lenguaje, en torno a los riesgos. Son
llevan a las organizaciones a proteger catalizadores para hacer entender los
su recurso ms valioso, la informacin. temas de la seguridad en los directivos
de la organizacin.
Conclusiones
2. Dentro de la encuesta se indaga
1. Se sigue afianzando la transforma- sobre la conciencia de los directivos y
cin de paradigmas de la seguridad de su nivel de involucramiento y respon-
la informacin en las organizaciones y sabilidad a la hora de participar en las
su relacin con los directivos de las tomas de decisiones con relacin a la
mismas, las juntas directivas cada vez seguridad. Por tal razn, se adapta la
ms se involucran y participan en la matriz de Covey [1], para relacionar las
toma de decisiones. Esto se ajusta a la dos variables identificadas con la res-
realidad mundial sobre los temas que ponsabilidad y compromiso de las

34 SISTEMAS
altas direcciones, en materia de segu- alta direccin atiende y entiende las
ridad de la informacin, como lo mues- recomendaciones en materia de
tra la Grfica 12. proteccin de la informacin, y, si bien
no se involucra, s tiene claro que es
En el eje X se encuentra representado necesario entender los riesgos en
el compromiso de la alta direccin, y materia de seguridad de la informa-
en el eje Y est identificada la respon- cin.
sabilidad de la alta direccin, seguido
de esto estn las zonas definidas las Zona de fatiga de la seguridad: en esta
cuales representan los siguientes zona hay un bajo compromiso y baja
conceptos: responsabilidad de la alta direccin
con relacin a la seguridad de la
Zona de rendimiento y resiliencia de la informacin y los riesgos involucrados.
seguridad, donde el compromiso y la La alta direccin no se involucra en los
responsabilidad de la alta direccin procesos y toma de decisiones sobre
son altas. En esta zona se ha identi- la proteccin de la informacin.
ficado que los directivos de la orga-
nizacin estn involucrados en la toma Zona de receptividad de la seguridad:
de decisiones relacionadas con los En esta zona hay baja responsabilidad
riesgos asociados a la proteccin de la y alto compromiso por parte de las
informacin. altas direcciones de las organizacio-
nes. En esta zona las altas direcciones
Zona de Supervivencia de la segu- lo que hacen es delegar las responsa-
ridad, donde el compromiso es bajo y bilidades a otros, pero s esperan ser
la responsabilidad alta. En esta zona la informados de lo que sucede en mate-

Grfica 12. Diagrama de Covey adaptado


SISTEMAS 35
Grfica 13. Matriz de Conciencia de la Seguridad.
ria de la seguridad y cmo se avanza deben propender por mantener en
en este tema. niveles adecuados, el ambiente de
incertidumbre en el que las organiza-
La Grfica 13 muestra las variaciones ciones hoy conviven.
entre el estudio de 2015 y este de
2016: 5. Por otro lado, tambin se entienden
las nuevas anomalas, entre ellas el
3. Seguimos en el camino de entender Ransomware, como un desafo que
la seguridad de la informacin como debe ser analizado y visto de manera
un mecanismo para asegurar la orga- cuidadosa, toda vez que este entorno
nizacin. En esta visin existen aproxi- cada vez ms voltil, incierto, comple-
maciones para entenderla como un jo y ambiguo requiere de mayor obser-
orientador de negocio. No obstante, vacin, atencin y capacidad de
algunos todava ven en la seguridad entender de manera profunda las
de la informacin slo herramientas y interrelaciones corporativas y lo
tecnologas de apoyo. selectivo que puede llegar a ser un
adversario digital.
4. Los temas emergentes como la
ciberseguridad y mecanismos como 6. Las regulaciones nacionales e
los ciberseguros son herramientas y internacionales son mecanismos que
contextos que hacen ms complejo el apoyan el fortalecimiento de los
ambiente de proteccin de las organi- sistemas de gestin de seguridad de la
zaciones. Los sucesos no slo mun- informacin. Hoyexisten en Colombia
diales, sino regionales y locales, acre- normativas como la regulacin en los
cientan los vectores de trabajo de los sectores financieros y la ley de prote-
responsables de seguridad, los cuales ccin de datos personales. Las regula-

36 SISTEMAS
ciones internacionales inclinan la [4] IBM X-Force Threat Intelligence Report
balanza hacia la seguridad de la 2016. https://securityintelligence.com/
informacin y nos enfrentan a un media/xforce-tir-2016/
panorama todava denso, en materia
[5] The Global State of Information
de ataques informticos.
Security Survey 2016. Turnaround and
transformationinCybersecurity. http://
7. Los estndares internacionales de w w w. p w c . c o m / g x / e n / i s s u e s / c y b e r -
la industria se ven reflejados en security/information-security-survey.html
Colombia en las buenas prcticas en
seguridad de la informacin, De ah [6] The Global Economic Crime Survey
que ISO 27000, ITIL y Cobit se 2016.Adjusting the Lens on Economic
consoliden como marcos para cons- Crime. http://www.pwc.com/gx/en/servi
truir arquitecturas de seguridad de la ces/advisory/consulting/forensics/econo
informacin. Por otro lado, los parti- mic-crime-survey.html
cipantes reflejan con nfasis la nece-
[7] Information Security Maturity Report
sidad de utilizar algn marco de refe- 2015 Current information security practice
rencia, que les permita construir mo- in European organizations. http://clubciso.
delos adaptados a las necesidades de org/quotable-statistics/
las empresas.
[8] State of Cybersecurity implications for
Referencias 2016 An ISACA and RSA Conference.
http://www.isaca.org/pages/cybersecurity
[1] Los cuatro cuadrantes de Stephen -global-status-report.aspx
Covey. http://www.zetasoftware.com/
2015/02/administracion-del-tiempo-los-4- [9] 2016 Enterprise Security Study How
cuadrantes-de-stephen-covey/ . Prepared Is Your Organization to Defend
againsttoday's Advanced Threats?
[2] 2016 Global Threat Report Forcepoint. Information Security Media Group.
https://www.forcepoint.com/resources/whi http://www.bankinfosecurity.com/whitepa
tepapers/forcepoint-2016-global-threat- pers/2016-enterprise-security-study-w-
report 2499
http://www.isaca.org/pages/cybersecurity
[3] CISCO 2016. Informe anual de -global-status-report.aspx
seguridad. http://globalnewsroom.cisco.
com/es/la/press-releases/informe-anual- *Realizada por la Asociacin Colombiana
de-seguridad-de-cisco-revela-una-dis- de Ingenieros de Sistemas (Acis).
1239705

Andrs Ricardo Almanza Junco, M.Sc. CISM, ITIL, ISO 27001, LPIC1. Ingeniero de
Sistemas, universidad Catlica de Colombia. Especialista en Seguridad de Redes de la
Universidad Catlica de Colombia. Mster en Seguridad Informtica de la Universidad
Oberta de Catalua, Espaa. Codirector de las JornadasInternacionales de Seguridad
Informtica. Coordinador en Colombia de la Encuesta Nacional de Seguridad Informtica.
Coordinador del grupo CISO's-COLy CISO's-LATAM en Linkedin.

SISTEMAS 37
Cara y Sello

Fraude informtico y el
contexto colombiano
El ritmo que acompaa los avances tecnolgicos en trminos
de fraude, no es el mismo de los controles ni de las alertas ni
de la cultura de prevencin y, menos an, del marco jurdico
que los cobija.

Sara Gallardo M.

El fraude informtico avanza a un ritmo rece no tener lmites. Creo que esta-
que supera todos los controles, las mos cerca de algn tipo de Pearl
alertas, la cultura de prevencin y ni Harbor (1941). Una suerte de evento
qu decir del marco jurdico que lo digital que acabe con numerosas
rodea. Entorno que, segn los futur- compaas. Hasta que eso no ocurra,
logos tecnolgicos, no tiene nada de la gente no le prestar suciente
halagador. atencin a la seguridad informtica.
Dicho evento podra suceder en los
Las predicciones de Scott Klososky, prximos cinco aos, le dijo al diario
una de las voces ms autorizadas en El Tiempo.
tales vaticinios, son para preocuparse
y hacer un llamado a prestar ms De ah la necesidad de analizar con
atencin a un agelo mundial que pa- distintos expertos las condiciones del

38 SISTEMAS
presente, las tendencias y hasta el do, directora del Departamento de
pasado. Hace unos meses el Depar- Ciencias Contables CIJAF- y Luis
tamento de Defensa de los Estados Eduardo Daza, especialista en fraude
Unidos liber el documento denomina- informtico, del Departamento de
do Seguridad de los sistemas compu- Ciencias Contables de la Universidad
1
tarizados , que conservaba como Javeriana, asistieron puntuales a la
clasicado desde el 11 de febrero de cita.
1970. Es decir, un documento de hace
46 aos. Al revisarlo, se detect que, La idea es que profundicemos en las
en trminos de los controles, pareciera diferencias que rodean esa tendencia
que se hubiera quedado congelado en que est afectando y dando vueltas
el tiempo, lo que me produjo la siguien- entre las organizaciones y el pblico
te reexin: -No hemos cambiado ni general: el fraude informtico, el
evolucionado?, manifest Jeimy J. ciberdelito y las otras modalidades del
Cano M., director de la revista y cibercrimen, puntualiz Jeimy J.
moderador de la reunin convocada Cano, para dar comienzo al debate
con tales nes. con la primera pregunta:

Los invitados Recaredo Romero, Cul es diferencia entre un delin-


director regional para Amrica Latina cuente informtico y un fraude
de la Divisin de Investigaciones y informtico? Qu es delincuencia
Disputas de KROLL; Natalia Baracal- informtica por fraude informtico?
Existe alguna diferencia?

1
Department of Defense (1970) Security controls for Recaredo Romero
computer systems (U). Report of Defense Science Director Regional para Amrica Latina
Board Task Force on Computer Security. Febrero. de la
Recuperado de:
http://seclab.cs.ucdavis.edu/projects/history/paper Divisin de Investigaciones y Disputas
s/ware70.pdf KROLL

SISTEMAS 39
El delincuente informtico es el perpe- te tendremos oportunidad de precisar.
trador y el fraude informtico, la con- A veces, es muy difcil poder identicar
ducta. Y me atrevera a orientar la el delincuente informtico, principal-
pregunta a la funcin que le damos al mente por las caractersticas de anoni-
fraude informtico. Existe una larga mato de su actividad. El segundo
variedad de deniciones, una de ellas aspecto es diferenciar entre fraude y
referida a quien usa el engao a travs delito informtico. Este ltimo est
de medios informticos. Esa sera una tipicado por cada pas como una
diferencia entre el fraude informtico y conducta punible. En otras palabras,
el delito informtico. El primero, es un hay situaciones que aunque son
delito especco y el segundo contem- fraude, no estn contempladas como
pla una variedad de acciones ilegales, delito. De ah algunos asuntos en
que no son necesariamente fraude. Lo nuestra legislacin colombiana, que
que quiere decir que el delito informti- aunque no son tipicadas como delito,
co es un concepto ms amplio que el s caben en la categora de fraude.
fraude informtico. Para dar un ejemplo muy sencillo, en
Colombia, la evasin tributaria no es
Luis Eduardo Daza Giraldo un delito, es una conducta reprochable
Especialista en Fraude Informtico desde el punto de vista administrativo.
Departamento Ciencias Contables Eso mismo pasa en el tema informti-
Ponticia Universidad Javeriana co, hay unas conductas especcas
El delincuente informtico, es el tipicadas en la ley como delito infor-
sujeto, el perpetrador, tambin identi- mtico y otras que no alcanzan a
cado en otro tipo de delitos y fraudes. quedar ah, que uno podra catalogar
Es esa persona envuelta en los gran- como fraude informtico.
des mitos y realidades que ms adelan

40 SISTEMAS
Natalia Baracaldo ellos protegen la informacin ya sea
Directora Departamento Ciencias del delito informtico o de malas
Contables CIJAF- prcticas en su contra. Pero, cualquier
Ponticia Universidad Javeriana persona puede cometer algo en contra
Mi respuesta la oriento desde la de la informacin y ni siquiera est
jurisdiccin actual. Con el fraude nan- tipicado ni siquiera existe. De ah que
ciero, sucede lo mismo. En algunos no podamos referirnos a un delincuen-
pases est tipicado en los cdigos te informtico.
penales y en otros no es as. En
Colombia existe una normatividad Jeimy J. Cano M.
especca, que ayuda a tipicar Director Revista Sistemas
especcamente los temas relaciona- ACIS
dos con delitos informticos. Sin em- Este tipo de conductas (fraude
bargo, puede haber conductas enmar- informtico) estn tipicadas en la
cadas en asuntos de fraude, tales legislacin colombiana? Hay
como el engao, que ni siquiera casos con fallos concretos? De no
pertenecen a la categora de delitos ser as, cul es la razn?, por
informticos. De ah que la respuesta qu?, cules son las carencias
sea muy amplia y dependa del contex- para que no lo estn?
to desde el cual se mire. En nuestro
pas, se trata de un asunto incipiente, Natalia Baracaldo
muy nuevo y prcticamente descono- En nuestro pas, la tipicacin de los
cido. Quienes estn ms salvaguarda- delitos no es un tema exclusivo del
dos estn en el sector nanciero. All ambiente informtico y considero que
es donde existen las mejores medidas, el Cdigo Penal se queda corto en
para cuidar ese precioso activo que es muchsimos aspectos. No sabra decir
la informacin. En ese orden de ideas, si por quienes emiten este tipo de

SISTEMAS 41
Luis Eduardo Daza seala las nueve categoras de delitos informticos tipificadas en
la ley colombiana.

normas o si falta que la Academia se Sara Gallardo M.


pronuncie. Lo que s es evidente es Editora Revista Sistemas
que hay una falencia. Dentro de la Ley Pero, no especcamente el
273 de 2009, se quedan por fuera fraude?
innidad de asuntos. Pensando la
pregunta desde otro contexto, en el Luis Eduardo Daza Giraldo
sentido de las responsabilidades En la ley colombiana estn tipicados
frente al control interno de la informa- como nueve categoras de delitos,
cin, se exige a muchas empresas que incluso hasta daos fsicos en equi-
los revisores scales sean quienes pos, dao informtico y acceso no
dictaminen sobre la tecnologa de la autorizado. S existen fallos concretos,
informacin orientada a protegerla. Un pero siguen siendo muy pocos. Uno de
revisor scal es un contador de pro- los aspectos a tener en cuenta con
fesin, qu puede saber de delitos y relacin a nuestras autoridades en el
de fraudes informticos, inclusive de pas, es que como se trata de temas
seguridad de la informacin? En mi relativamente muy recientes, la prepa-
opinin, no slo existen vacos norma- racin tcnica de los funcionarios para
tivos, tambin en quienes manejan atender tales hechos es escasa y
estos temas, en trminos de conoci- deciente. Quienes combaten ese tipo
miento y buenas prcticas. de delitos enfrentan el reto de actuali-
zacin y de una formacin ms avan-
Jeimy J. Cano M. zada. En los diferentes expedientes
Est tipicado o no el delito judiciales doscientos, para citar una
informtico? cifra-, que manejan los scales guran
casos de robo, hurto, lavado de acti-
Luis Eduardo Daza vos, estafa y tal vez slo uno es delito
Est tipicado; por lo menos as se informtico y, en consecuencia, la
llama dentro de la ley colombiana, la prioridad para su investigacin ser,
1273 de 2009. probablemente, una de las ltimas. Y

42 SISTEMAS
adems se preguntan: qu hago con caso, por ejemplo, de un fraude nan-
este proceso?, a qu investigador se ciero a travs de una tarjeta de crdito,
lo asigno?. En otras palabras, se trata si la entidad bancaria devuelve el
de un tema que genera angustia y, por dinero al tarjetahabiente, hasta ah
lo tanto, deciden trabajar sobre lo llega el asunto. Se cometi el delito,
conocido y aplazar lo dems. Esta pero no se hizo nada para iniciar una
situacin explica por qu se conocen accin legal, porque la vctima (el
muy pocos fallos o condenas. Su tarjetahabiente) al nal no sufri una
complejidad y la falta de preparacin prdida. Tal hecho, por los montos
tcnica en lo penal la determinan. individuales menores, no incentiva los
procesos penales y obstaculiza su
Sara Gallardo xito de investigacin y sancin.
Existen cifras sobre el porcentaje
de cuntos casos de los que mane- Recaredo Romero
jan los scales, corresponden a Con relacin a si est o no tipicado el
delitos informticos? fraude, me gustara medir el vaso,
medir el hielo. En otras palabras, la
Luis Eduardo Daza tecnologa va a una velocidad muy
Hay algunos informes con bajos distinta a la de las normas. Eso sucede
resultados nales de productividad. En en la normatividad nacional e interna-
las noticias se informa sobre algunos cional. El fraude informtico no est
casos muy connotados acerca de tipicado en la ley. Algunas conductas
acciones de hacking, pero son la s lo estn, con las cuales en un caso
excepcin. Y, lo grave de todo esto, es de fraude informtico, se podran
que la gran mayora de delitos inform- apalancar la investigacin y el proce-
ticos quedan en la impunidad. En el so.

Recaredo Romero indica que la tecnologa va a una velocidad muy distinta a la de las
normas y, por tal razn, el fraude informtico no est tipificado en la ley.
SISTEMAS 43
Segn Recaredo Romero (derecha), el fraude no est tipificado, pero se le puede
conectar con delitos informticos que s lo estn.

Jeimy J. Cano M. que elabora KROLL anualmente. En


En lo penal? el ao 2015, de las once tipologas de
fraude que mide el estudio, el robo de
Recaredo Romero informacin, prdida o ataque se
Exactamente y con conexin al delito ubic en tercer lugar como tipologa
informtico. El fraude, especcamen- ms frecuente a nivel internacional.
te, no est tipicado, pero se le puede En Colombia, esa tipologa fue la
conectar con delitos informticos que nmero uno y afect al 27% de las
s lo estn. Por ejemplo, con el delito empresas que participaron en el
de acceso abusivo a un sistema estudio.
informtico. Ese delito est presente
en muchas conductas y fraudes. As Sara Gallardo
que la norma tiene carencias, pero es De cuntas empresas?
algo natural, mientras el ritmo de la
tecnologa y el sistema normativo sean Recaredo Romero
distintos. Ya, por lo menos, tenemos Del total de la muestra, el 27%. Es
en Colombia unas conductas tipica- preciso anotar que el estudio mide
das como delitos informticos. especcamente el fraude detectado.
El fraude real, que incluye el no
Jeimy J. Cano M. detectado, es probablemente signi-
Existen en Colombia estadsticas cativamente ms alto. Dentro de las
sobre fraude informtico? Cules tipologas ms comunes en el mbito
son las conductas ms habituales? empresarial est la captura y robo de
informacin para venderla y hacer uso
Recaredo Romero de la misma; tambin el robo de
Con relacin a estadsticas, cito los identidad es prevalente. En el sistema
resultados del informe global de fraude nanciero, los datos personales, cuen-

44 SISTEMAS
tas bancarias, claves de acceso a ransomware, o secuestro de informa-
tarjetas, entre otros aspectos, tienen cin; una tendencia global que est
una alta demanda en el mercado afectando tambin a Colombia. Esta
negro. Se trata de actividades de bajo es una actividad que va a ser difcil de
riesgo y alta retribucin para el delin- contrarrestar, mientras existan empre-
cuente, lo cual incentiva la actividad sas y personas dispuestas a pagar el
ilcita. La transnacionalidad de esas rescate. Frente a lo que se ve a futuro,
tipologas, dicultan investigar el delito Internet de las cosas tendr gran
informtico. Dentro de las tendencias, incidencia, por la interconexin al gran
estamos ante unos encadenamientos software y el boom de los bienes
productivos, por llamarlos de alguna electrnicos; los carros, las casas y los
manera, donde tenemos muchos sistemas del hogar estarn conecta-
eslabones que participan en la cade- dos. As que podr resultar lo mismo
na; desde los desarrolladores de los que estamos viendo ahora, el secues-
softwares maliciosos, hasta los que tro de informacin, a cambio de un
capturan datos, los que los comerciali- rescate, adems de pasar a metodolo-
zan y los que hacen uso de esos datos gas todava ms sosticadas.
para obtener un benecio econmico.
Entonces, tenemos una multitud de Jeimy J. Cano
actores ubicados en distintos pases. Adicionalmente al planteamiento de
Afortunadamente, la colaboracin Recaredo Romero, el ransomware
judicial es creciente y est aumentan- ha sufrido una evolucin. Ya no slo
do la ecacia en la persecucin de se pide rescate, sino que con el
estos delitos, la cual ha sido tradicio- pasar del tiempo sin pagarlo, los
nalmente muy baja. Algo que se ha atacantes comienzan a borrar los
vuelto tremendamente frecuente y que archivos retenidos. En otras pala-
se espera siga en aumento es el bras, queda capturado el equipo.

El director de la revista y moderador del foro Jeimy J. Cano se refiere a la evolucin


del ransomware.

SISTEMAS 45
Luis Eduardo Daza (segundo de derecha a izquierda) advierte sobre la dificultad para
medir la accin criminal en la red.

Recaredo Romero delitos informticos: los que no con-


Agregara que con el ransomware est templan una intencin nanciera,
sucediendo lo mismo que ocurra con conocidos como hacking y los que s la
la extorsin y los secuestros tradicio- tienen, reconocidos como cracking.
nales. Hay casos en que la gente paga Cul es medible? Generalmente, las
el rescate y se le piden pagos adicio- estadsticas apuntan al cracking
nales. O casos en que las vctimas porque se trata de cifras asociadas a
vuelven a ser atacadas por ser percibi- montos de dinero; mientras que las
das como proclives al pago. Adicional- acciones de acceso a sistemas o datos
mente, lo ms comn hasta el momen- no autorizados resultan difcilmente
to es, yo retengo tu informacin hasta medibles. Lo ms difcil en este tipo de
que me pagues el rescate. Pero se delitos es medir. Como dije antes, las
empiezan a presentar incidentes en conductas de los delitos informticos
los que se amenaza a la vctima con se podran dividir entre las que son con
hacer pblica la informacin, a no ser una intencin de provecho nanciero y
que se pague rescate. las que no. Las primeras, de alguna
manera se podran medir, o por lo
Sara Gallardo menos estimar, con base en encues-
Con relacin a las tendencias tas a las vctimas, ya sean personas o
mencionadas, que en muchos luga- empresas. Al contrario, resulta casi
res ya son un hecho, hay cifras es- imposible estimar los delitos informti-
peccas? cos no nancieros, que slo buscan
acceder a unos datos o sistemas de
Luis Eduardo Daza informacin sin consentimiento de su
Cuando se habla de estadsticas, el titular. Algunas entidades han realiza-
problema es medir la accin criminal do dichas mediciones, en forma anual
en la red. Esta accin es muy difcil de y otras bianual y la gran mayora a
realizar. En teora hay dos tipos de travs de encuestas en las que se

46 SISTEMAS
denen ciertas categoras y una dencias, las cuales permiten medir,
metodologa de estimacin para cada segn sus metodologas, en dnde se
una. De esta forma, la empresa o puede ir clasicando y midiendo el
persona que fue vctima del ciberdelito delito informtico y qu tendencia
nanciero maniesta la modalidad, el marca. KPMG vena haciendo una
nmero de incidentes, el monto encuesta de fraude en las empresas
involucrado y dems caractersticas. para los aos 2011 y 2013. Algo
Pero no hay de hacking. interesante es que para el 2013,
incluy la variable, cibercrimen. Esto
Y esa, en mi opinin es una de las es muy valioso porque hace una
conductas, para llegar a la pregunta primera medicin en las empresas
sobre Cules son las ms habitua- colombianas. Lstima que no apareci
les? Sin tener una cifra concreta, creo la versin 2015 para comparar dicha
que el hacking es una de las conductas medicin. Esperbamos que fuera
ms habituales en ese tipo de delitos, cada dos aos, pero KPMG no lo hizo.
pero no se puede medir exactamente. No s si lo estarn pensando hacer o
Es como hablar de otros fenmenos retomar. El tema de estadsticas o
como el narcotrco, hay cifras, hay medicin de actividades ilegales, en
datos, hay estimaciones, pero no hay este caso los delitos informticos,
una cifra exacta. No hay una medicin resulta muy complejo porque se trata
exacta. Se trata de hacer ejercicios o de medir algo que sabemos que
aplicar modelos para medirlo. Noso- existe, pero es clandestino.
tros desde la academia qu hace-
mos? Revisamos y seguimos estads- Natalia Baracaldo
ticas que publican algunas rmas La rma KPMG ha venido haciendo lo
como KROLL, KPMG y PriceWC que que ellos denominan Encuesta de
se aventuran a medir el fenmeno. Y fraude, versiones 2011 y 2013. En la
ah lo que uno ve es que hay unas ten- primera, realizaron mediciones rela-

SISTEMAS 47
Por primera vez en la historia de esta seccin de la revista, ninguno de los invitados a
la reunin era ingeniero de sistemas.

cionadas con el rbol del fraude que el cibercrimen, pero s fueron utiliza-
propona tres categoras y en sta das herramientas informticas. Es
medan impactos de corrupcin, importante entonces, vericar la inci-
malversacin de activos, e informa- dencia que tiene el tema de lo inform-
cin nanciera fraudulenta. En la tico. Las cifras de lo que propone
encuesta del ao 2013, contemplan la KPMG en su encuesta versin 2013,
ramicacin del cibercrimen, en donde es que el 23% de los ataques cibernti-
entran las conductas a las que nos cos, obedece a deslealtad de emplea-
hemos referido. En ese estudio de dos. Es decir, que en ese porcentaje,
2013 vale la pena destacar que el se estn gestando desde el nivel
impacto econmico de estos actos ocupacional y personas dentro de la
vandlicos est representado en una organizacin, fraudes relacionados
cifra cercana a los 550 millones de con el cibercrimen. All hay otras cifras
dlares, sin tener en cuenta lo no importantes de mencionar, como que
cuanticado. De dicha encuesta sale el 39% de los ataques cibernticos
el cibercrimen. En el ao 2011, el valor fueron detectados de manera acciden-
total de los fraudes cuanticados fue tal. Digamos que en esa cifra, se
de 950 millones de dlares; para el ao mencionan dos cosas, el impacto o la
2013, la cifra de lo cuanticado incidencia de cmo se detectaron
ascendi a 3.600 millones de dlares. ataques cibernticos. No es comn
Sin embargo, no quiere decir que en que los delitos informticos se denun-
ese lapso hubiesen ocurrido esos cien a travs de los canales organiza-
fraudes. Ms bien, es que se venan cionales, obedece ms a un tema de
gestando y lo que sali a la luz en esos accidente -como veamos en noticias
perodos, fue lo que vena de atrs. recientes- a que la persona tuvo mala
Por ejemplo, Interbolsa y Saludcoop, ortografa o escribi mal el password.
para citar algunos. Tales casos no Se podra decir entonces que no hay
fueron especcamente gestados por controles en la tecnologa de informa-
48 SISTEMAS
cin, a travs de un canal de denun- dores interesados en vulnerar u
cias. En los ataques cibernticos, no obtener benecios de la compaa.
es efectivo un canal de denuncias para Dentro del mbito interno de las
detectarlo, lo cual es muy preocupan- empresas, yo dira, que los fraudes se
te. Incluso, estn las cifras, del Ras- pueden dar en todos los niveles, desde
mussen College (2012), las cuales la alta direccin, digamos, desde un
sealan que el delito ciberntico ha nivel directivo y medio, hasta un nivel
venido creciendo tanto en los ltimos netamente operativo. De qu depen-
aos, que llegar un momento, en el de? Segn la teora general del fraude,
cual tenga muchsima ms incidencia un enfoque tradicional de nales de los
que el narcotrco, la trata de perso- aos 60 propuesto por Donald Cres-
nas u otro tipo de delitos y ante la sey, los funcionarios cometen fraude
opinin pblica sean ms graves. por motivacin, oportunidad o raciona-
lizacin. Sin embargo, luego se aade
Jeimy J. Cano el concepto de la capacidad a estos
Existe un modus operandi del tres elementos. Sin duda, es un
defraudador informtico? Cules aspecto fundamental en este tipo de
podran ser los sntomas que reve- conductas asociadas a los delitos
len un posible fraude informtico? informticos, porque la capacidad del
sujeto determina el alcance que pueda
Luis Eduardo Daza tener para acceder a la informacin o
En buena parte de estos asuntos datos. Entonces, dependiendo de la
aplica la teora general del fraude. El modalidad del fraude de que estemos
modus operandi del defraudador se hablando se pueden identicar
presenta interna y externamente, diferentes perles y modos de actuar.
hechos que coinciden con la teora del Por ejemplo, un alto directivo tiene
fraude en general. Es decir, afuera de mucha ms capacidad de acceso a
las organizaciones estn los defrauda- cierta informacin, que muchos otros

Jeimy J. Cano (fondo) indaga sobre el modus operandi del defraudador informtico.

SISTEMAS 49
funcionarios de la empresa no lo tie- la noche, o en horarios no habituales o
nen. Hay muchos altos directivos que en nes de semana; relaciones muy
tienen acceso a todo. Algunos, por cercanas con ciertos proveedores o
buena prctica, renuncian a dichos clientes. Yo aplicara la teora del
privilegios y dicen, yo no quiero tener fraude. Los sntomas son esos com-
claves de nada, yo no quiero tener portamientos inusuales, son aquellas
acceso a ningn sistema, a m conductas que podran ir descubrien-
psenme la informacin requerida. do ese tipo de fraude, segn el rea de
En cambio, hay otros funcionarios que desempeo laboral o funcional de la
su capacidad es limitada al nivel de persona. Sin duda, hay que volver a
acceso que se haya jado segn las poner la lupa en aquellas personas
polticas o protocolos de seguridad. que tienen cierta capacidad y adems
Digamos, por ahora, que diferenciar el estn ubicados en reas crticas o de
acceso a los sistemas de informacin alto impacto. Porque cada categora
es una de las buenas prcticas que de fraude tiene sus propias condicio-
existen porque delimita la capacidad y nes.
establece perles diferentes.
Natalia Baracaldo
Cmo se ven los sntomas? Tambin KPMG tiene en cuenta una tipicacin
yo dira, hay que aplicar la teora dentro de su nuevo rbol de fraude: la
general del fraude. Cmo sabe uno piratera, los accesos no autorizados y
que de pronto alguien est involucrado el vandalismo. En el tema de piratera,
en ese tipo de fraudes? Hay que creo que todos nos hemos hecho una
revisar los temas y las conductas idea desdibujada, desde el seor que
personales; por ejemplo, los cambios est en el mercado informal o que
repentinos o injusticados de estilo de quienes la realizan manejan unos
vida, aquellas personas que se perles muy bajos. Puede que sea esa
quedan siempre hasta altas horas de la lnea nal de toda la cadena, pero la

50 SISTEMAS
verdad, es que en trminos de pirate- le proponen al amigo. Un caso muy
ra, todo obedece a grandes cabezas, sonado el del tesorero de Bavaria,
a grandes corporaciones. Si miramos quien cometi uno de los actos de
el tema de la msica, hoy en da fraude nanciero de miles de millones
existen plataformas como Napster, o de pesos, de mayor repercusin en
Spotify, que se han visto inmersas en nuestro pas, hace aproximadamente
temas de piratera, en trminos de ocho aos. Por otro lado, los robos de
derechos de autor. Desde la ptica en identidad, tambin a travs de acce-
que se mire es necesario hacer una sos abusivos a la informacin o a
diferenciacin. Si se trata de la repro- travs de las pginas de internet con
duccin no autorizada, piratera hecha las entidades nancieras. Y por ltimo,
por una organizacin grande o si se podemos hablar de un tema de vanda-
reere a distribucin, la cual cae en lismo, donde apenas voy a mencionar
mercados ms oscuros, densos y los temas de suplantacin de destruc-
sobre los que el control nalmente se cin de la informacin y de software
pierde. Los accesos no autorizados, malicioso. En ese ambiente es posible
podran darse directamente en las encontrar personas muy capaces, a
organizaciones. Por ejemplo, con los veces ni siquiera profesionales, pero s
accesos abusivos a sistemas inform- muy hbiles con los asuntos de
ticos de las entidades. Por ejemplo, la sistemas. Particularmente, participo
persona que su puesto de trabajo era en investigaciones de fraude nancie-
en el rea contable y luego pas a ro, donde uno se ve inmerso en
tesorera, a quien se le presenta una escenarios con personas discapacita-
necesidad familiar y ve la oportunidad das o mujeres embarazadas.
de cometer un acto ilegal, en el marco
de un acceso no autorizado. Cul Recaredo Romero
sera el modus operandi de la perso- A la hora de revisar el modus operandi
na? Ellos lo hacen una vez, dos veces para establecer el perl del perpetra-
y se dan cuenta que lo pueden repetir y dor, es oportuno diferenciar entre el

Recaredo Romero (derecha) explica las diferencias que rodean a los actores internos
y externos, en trminos del fraude informtico, dentro de una organizacin.

SISTEMAS 51
actor interno y el externo. Y dentro de cionando. Se ha pasado del golpear y
los actores internos, aquellos que correr al inltrar y permanecer. Una
actan de manera maliciosa y los que medida de proteccin de uso creciente
son negligentes. Al contrario de lo que en las organizaciones es la gestin de
pudiera pensarse, un nmero signi- incidentes de seguridad informtica
cativo de incidentes de seguridad con agentes inteligentes. Estos agen-
informtica son generados por actores tes ayudan a detectar incidentes o
internos. Es importante fortalecer la alertas en tiempo real y proporcionan
conciencia de seguridad informtica soluciones inmediatas en forma auto-
en los empleados y hacer que todo el mtica para controlar los incidentes.
mundo sea responsable de crear un
entorno seguro. Los empleados con Jeimy J. Cano
escasa cultura de seguridad, aquellos En un mundo digitalmente modi-
que por desinformacin o porque no cado como lo establecen los acad-
les gusta la inconveniencia que genera micos Michael Porter y James E.
2
la seguridad e intentan evadir las Heppelmann (2015) la seguridad y
polticas de la empresa, facilitan el control se convierten en un
mucho la actuacin de los hackers. El elemento clave que genera valor a
factor humano es usualmente el los productos y servicios. En este
eslabn dbil en cualquier programa sentido, qu tipos de controles se
de seguridad informtica. Respecto a deben tener en cuenta para prevenir
los actores externos, nos encontramos el fraude informtico? Son los
los hackers criminales, los cuales mismos que se aplican en seguri-
buscan generalmente un benecio dad de la informacin o como
econmico, los hacktivistas, cuyo controles generales de TI?
propsito es principalmente generar
dao o avergonzar a la vctima, y los
hackers patrocinados por gobiernos. 2
Porter, M. y Heppelmann, J. (2015) How Smart,
Es importante tener presente que las connected products are transforming companies.
tcticas de los hackers han ido evolu- Harvard Business Review. Octubre.

52 SISTEMAS
Natalia Baracaldo dad, las empresas no estn obligadas
En mi concepto, el tema del control a tener unos sistemas informticos
tiene que analizarse como un todo. El muy fuertes. En las empresas de
control interno es un proceso organi- familia, las pymes y las microempre-
zacional y existen los controles que sas, piensan que el riesgo informtico
pueden ser compartidos. Por ejemplo, ms grande es un virus que afecte el
al modelo COSO, relacionado con el computador. Tales compaas no
control interno, la organizacin para cuentan con un back-up de la informa-
cumplir sus objetivos debe determinar cin. Cul es el tema crucial? Regu-
los mbitos de cumplimiento, nancie- lacin, porque las empresas no tienen
ro y operativo. Lo informtico est la obligatoriedad en Colombia de
implcito en los tres. En la Ley Sarba- contar con un sistema de informacin
nes Oxley, en el ao 2002, posterior a fuerte; ni desde la seguridad de la
fraudes nancieros, en la seccin 404 informacin ni desde el fraude infor-
de Control sobre informacin nancie- mtico. Dnde es palpable el tema
ra, se obliga a que las organizaciones del fraude informtico? En las grandes
contemplen un control interno sobre organizaciones con prcticas de
sta. Aunque all no se est hablando gobierno corporativo y de control
especcamente de fraude informti- interno. Tales empresas comienzan a
co, s vemos la necesidad de que tener dependencias antifraude. Y
tengan controles internos de tales cul es el porcentaje de estas compa-
caractersticas. En ese orden de ideas. as en el pas? Un porcentaje muy
qu efecto tiene esto en el mbito pequeo.
colombiano? Pues que eso va aplicar
para aquellas empresas colombianas Recaredo Romero
que coticen en bolsa. Pero cuntas Las bases y los conceptos bsicos son
empresas colombianas cotizan en los mismos. Pero s hay algunos
bolsa? Un mnimo porcentaje de la matices dentro de la seguridad infor-
economa. Es decir, que por normativi- mtica, donde es importante un grado

SISTEMAS 53
Recaredo Romero (derecha) dice que no hay sistemas de proteccin infalibles.

de especializacin, sobre todo en los cifra en determinar: usted no use,


profesionales. Ah, principalmente en usted no acceda, usted,
temas como el monitoreo o la respues- quiere decir, que los controles en
ta a amenazas dinmicas, s existe trminos tecnolgicos fallaron?
una marcada diferencia, al tener
profesionales con una formacin y Recaredo Romero
experiencia prctica, atendiendo inci- Ese es el desafo de esta temtica. No
dentes y ataques informticos. As hay sistemas de proteccin infalibles.
mismo, la oferta de herramientas Siempre se est en riesgo y la toleran-
especializadas para prevenir, monito- cia al mismo inuir en los controles
rear, detectar y responder a las ame- que cada uno deber establecer.
nazas de seguridad es cada vez ms Obviamente, el sistema nanciero es
amplia y sosticada y requiere profe- muy restrictivo. Habr otro tipo de
sionales con los adecuados conoci- actividades econmicas, en las que
mientos tcnicos. Una tendencia pueden manejar el riesgo con criterios
creciente en cuanto a controles, es el ms exibles. Dependiendo de la
endurecimiento por parte de las orga- naturaleza del trabajo, de los requeri-
nizaciones de la poltica de uso mientos para la esencia del negocio o
aceptable de tecnologa de la informa- la actividad realizada se establecern
cin. Especcamente, las restriccio- polticas diferentes. La tendencia
nes de acceso a sitios web desde dominante es establecer restricciones
computadores conectados a la red generales de uso aceptable de tecno-
corporativa, incluyendo proveedores loga de la informacin para toda la
de servicios de email, redes sociales, organizacin y permitir excepciones
chats y motores de bsqueda. para personas o grupos segn lo
amerite la necesidad del negocio. Las
Sara Gallardo amenazas son crecientes y cambian-
Lo que quiere decir que la tecnolo- tes y hay que adaptar los controles en
ga ha fallado? Si la solucin se la misma medida.

54 SISTEMAS
Luis Eduardo Daza dad de la informacin es cada vez ms
Parto de una analoga. El tema de los restrictiva para los accesos a redes
controles es similar a los cachos o a sociales e internet.
la indelidad. No importa cuntos
controles usted coloque, si de verdad Jeimy Cano
una persona tiene la intencin de ser Entonces, la cultura es un control?
inel, lo va a hacer. Esa persona
buscar muchas maneras para lograr- Luis Eduardo
lo. Las organizaciones, los auditores, La cultura se vuelve en una forma
las reas de riesgo, siempre estn complementaria del control. Volviendo
buscando imponer o vericar el a la indelidad, si en mi casa me
cumplimiento de los controles y ms ensearon a respetar, a decir la
controles, para minimizar el riesgo. verdad, a ser honesto, etc., etc., pues
Esa es una de sus tareas. Y se con- al nal seguramente no voy a caer en
vierte en un crculo vicioso. En mi ella. Y pasa lo mismo en las organiza-
opinin, la solucin no est en enfocar- ciones. Si la cultura dentro de la
se en esa direccin. El reto est en empresa es relajada, vulnerable y no
crear una cultura y tener en cuenta los est bien cimentada, si los accesos
cambios generacionales. Por ejemplo, contemplan nes personales y no
hoy una persona de las ltimas gene- institucionales, hay riesgo. En muchas
raciones, millenials, es quien dentro de ocasiones la informacin de algunas
una organizacin necesita estar cone- empresas tiene niveles muy altos de
ctado con el mundo o por lo menos con condencialidad, es decir, no es
sus contactos. El mundo no tiene posible compartirla ni con la familia.
sentido si no es globalizado e interco- Hace poco supe de un atraco en un
municado. Esto es muy importante hoy banco del pas, porque un empleado
en las organizaciones, porque la de esa ocina divulg fotos en sus
tendencia en los controles a la seguri- cuentas personales de redes sociales

Hoy, las organizaciones ponen en prctica ms y ms controles, segn Luis Eduardo


Daza (izquierda).

SISTEMAS 55
El uso de las redes sociales y los smartphones, de acuerdo con Natalia Baracaldo,
pueden ser la mayor fuente de riesgo.

y con esa informacin los delincuentes atencin, toda vez que su uso es
supieron dnde estaban las bvedas o extendido y cada vez somos ms
caja fuerte y la ubicacin. Se trata de dependientes de ellos.
un tema de cultura y un reto generacio-
nal. Natalia Baracaldo
En escenarios en perspectiva, el uso
Jeimy J. Cano M. de redes sociales, smartphones,
Qu tendencias futuras se ven en entornos a los que nos hemos vuelto
el fraude informtico? Se apalan- adictos, esclavos, pueden ser la mayor
can en las tendencias de la delin- fuente de riesgos en los sistemas de
cuencia digital moderna? delitos informticos. En sentido
contrario a tal perspectiva sobre el
Recaredo Romero futuro del delito informtico, los temas
Algunos ejemplos ya los hemos de piratera tienden a disminuir, por-
anotado. Agregar que crecen las que hoy se han creado empresas para
amenazas a los telfonos inteligentes. descarga de msica, pelculas, videos,
Los dispositivos mviles actuales etc. Ahora las personas tienen la
contienen mucha informacin perso- msica en sus mviles, sin pagar ni
nal y cada vez ms son objeto de exponer los equipos a virus. Esto
ataques. Por ejemplo, hay aplicacio- tambin depende de la jurisdiccin. En
nes que camuan en juegos aparente- China, en Asia se tipo de aplicaciones
mente inofensivos que posteriormente no se pueden tener.
descargan un componente malicioso.
Las vulnerabilidades siguen siendo Luis Eduardo Daza
frecuentes en Android, el sistema La tendencia de la delincuencia
operativo ms utilizado del mundo, a informtica va en dos vas. Una, la
pesar del lanzamiento de nuevas denominara como la irreverencia o el
versiones que ponen nfasis especial irrespeto al status quo y est basada
en la seguridad. Sin duda, los telfo- en tecnologa. Es decir, con la apari-
nos inteligentes son un rea de cin de ciertos fenmenos como la
56 SISTEMAS
economa colaborativa hemos cam- crecientes e infortunadamente no
biado los principios de riqueza que ya existen mtodos infalibles de protec-
no estn en la cantidad de propieda- cin. No obstante, podemos mitigar en
des, sino en la facilidad para acceder a forma signicativa el riesgo de fraude y
bienes o servicios, apoyados en los otros riesgos informticos mediante la
desarrollos tecnolgicos. Algunos implementacin de estrategias ade-
ejemplos notables de esta nueva cuadas orientadas a prevenir la ocu-
forma de acceder a la economa rrencia de incidentes y a responder de
colaborativa o sharing economy es manera rpida y efectiva cuando estos
Uber Airbnb. El caso de Uber es muy suceden. Defender el permetro sigue
signicativo para entender cmo este siendo necesario, pero no es sucien-
negocio, basado en una plataforma te. Un buen programa de seguridad
tecnolgica desarrolla un servicio de informtica requiere prestar atencin a
transporte sin tener la propiedad de un estos tres pilares fundamentales:
solo vehculo; esto se ha convertido en personas, procesos y tecnologa.
todo un reto para los taxistas tradicio-
nales, autoridades, usuarios y otros Natalia Baracaldo
jugadores. Para volver a la respuesta, Queda de maniesto que en todos los
cito este ejemplo para ilustrar que los sectores de la economa, el ciberdelito
negocios lcitos hoy no tienen fronte- debe ser contemplado como un riesgo,
ras, pero al mismo tiempo las organi- frente al cual se debe dar una respues-
zaciones criminales y ciberdelincuen- ta, que desde mi experiencia debera
tes se aprovechan de las mismas ser la mitigacin; lo mejor en materia
ventajas tecnolgicas. de mitigacin es la imposicin de
controles, los cuales deben formar
La segunda tendencia la podra deno- parte de la cultura organizacional. Es
minar como la asimetra regulatoria. importante que las empresas y hasta
Es decir, los ciberdelincuentes saben los ciudadanos del comn sean
perfectamente que en la red tienen un conscientes sobre cmo el conoci-
panorama inmenso, casi ilimitado, de miento y la prevencin en estos temas,
posibilidades para reali-zar activida- se vuelve un arma para combatir los
des que resultan claramente ilegales delitos cibernticos.
segn las normas penales de cada
pas. Sin embargo, la red no tiene una Luis Eduardo Daza
jurisdiccin penal especca. Esta Para concluir, quisiera decir que los
situacin es aprovechada por los ciberdelincuentes se aprovechan del
delincuentes para favorecer sus anonimato que se puede dar en la red
intereses y evadir las posibles accio- y tambin saben de las debilidades
nes legales que debieran asumir. tcnicas de las autoridades para
investigar estas conductas. Por lo
Conclusiones tanto, debemos asumir una gran
responsabilidad en el manejo de
Recaredo Romero nuestros propios datos y cuidar la
El mundo est cada vez ms interco- informacin que manejamos de las
nectado y dependemos de la tecnolo- empresas o negocios a nuestro cargo.
ga en los negocios y nuestra vida En cuanto a los delitos informticos en
cotidiana. Esto nos expone a riesgos las empresas, se requiere un trata-

SISTEMAS 57
miento con enfoque basado en en su estructura por el avance tecnol-
riesgo para distinguir mecanismos gico y de comunicaciones, los cambios
de prevencin y controles acordes culturales de las personas que llegan al
con el nivel de riesgo identicado. mundo laboral y los tipos de controles,
Por ltimo, las organizaciones segn el diferente rol de sus emplea-
deben tener en cuenta los cambios dos.

Sara Gallardo M. Periodista comunicadora, universidad Jorge Tadeo Lozano. Ha sido


directora de las revistas Uno y Cero, Gestin Gerencial y Acuc Noticias. Editora de Al
Computadores del diario El Tiempo. Redactora en las revistas Cambio 16, Cambio y Clase
Empresarial. Coautora del libro Lo que cuesta el abuso del poder. Ha sido corresponsal de
la revista Infochannel de Mxico y de los diarios La Prensa de Panam y La Prensa
Grfica de El Salvador. Investigadora en publicaciones culturales. Gerente de
Comunicaciones y Servicio al Comensal en Andrs Carne de Res, empresa que supera los
1800 empleados; corresponsal de la revista IN de Lanchile. En la actualidad, es editora en
Alfaomega Colombiana S.A., firma especializada en libros universitarios, y editora de esta
revista.

58 SISTEMAS
Uno

Fraude informtico,
una amplia mirada
Diferencias de conceptos e implicaciones entre fraude,
crimen ciberntico y otros.

Joshsua Gonzlez
Introduccin ciberespaciales del mismo pas, define
el ciberespacio como el dominio que se
En la actualidad, simplificamos nues- caracteriza por el uso de la electrnica
tras expresiones sobre el mbito y del espectro electromag-ntico para
informtico, reducindolas a la prepo- almacenar, modificar e intercambiar
sicin ciber (cibercrimen, ciberte- datos, mediante sistemas de redes e
rrorismo, ciberguerra, cibercomercio, infraestructuras fsicas. Tiempo des-
cibereducacin), cayendo en una pus, El Departamento de Defensa (en
definicin utpica. El Departamento de publicacin junto al organismo de
Defensa de los Estados Unidos define Operaciones Conjuntas, el 17 de sep-
el ciberespacio como el entorno terico tiembre 2006, incorporaron un cambio
en el que se comunica la informacin el 22 de marzo de 2010), define el
digitalizada, a travs de redes infor- ciberespacio como un mbito global en
mticas. Por otro lado, la Estrategia el entorno de la informacin. Se trata
Nacional Militar para operaciones de la red interdependiente de infraes-

SISTEMAS 59
tructuras tecnolgicas de la infor- ya existentes, con un vector diferente.
macin, incluida Internet, redes de La delincuencia informtica es conocida
telecomunicaciones, sistemas infor- hoy en da como un crimen o delito que
mticos y procesadores embebidos. utiliza ordenadores, dispositivos mvi-
Tales medios utilizados en el ciberes- les, redes y computadores entre otros.
pacio como lo son la electrnica y el Sin embargo, hay tres hechos distintos
espectro electromagntico para alma- de estos crmenes, donde los equipos
cenar, se enfocan en acciones como informticos tienden a ser un objetivo,
modificar e intercambiar datos, por un arma, o simplemente un facilitador
medio de los sistemas en red. Las del acto.
operaciones en el ciberespacio em-
plean las capacidades de este medio, En el primer caso, los sistemas
principalmente para lograr dichos informticos son el objetivo del delito y
objetivos y contemplan operaciones de foco de actividades tales como robo,
redes informticas y actividades para destruccin, alteracin de la informa-
operar y defender a la Red de Infor- cin, sistemas de informacin y soft-
macin Global. ware. En el segundo caso, los equipos
informticos pretenden ser el arma que
Una nueva manera de delinquir implica el uso para lanzar ataques,
entre los que se cuentan: el acoso
A casi 10 aos de uno de los incidentes ciberntico (ciberbullying), pornografa
de seguridad mayor nombrados en el infantil, correo no deseado, spoofing
ao 2008, donde un hombre conocido (en calidad de suplantacin de varios
como Michael Largent fue arrestado vectores, como sitios web, correo elec-
por un proceso fraudulento en la trnico), DoS (Denegacin de Servi-
creacin de aproximadamente 58.000 cio). De igual manera, en sus diferentes
cuentas bancarias, las cuales us para acciones (Distributed Denial of Service
el recaudo de dinero en transacciones DoS, Economic Denial of Service
electrnicas. Bsicamente, Largent EDoS). En el tercer caso, los sistemas
realiz una burla al sistema de Google de informacin, computadoras y ele-
Checkout, Paypal y otros sitios de mentos informticos son el facilitador y
transacciones, donde a travs de apoyo a la delincuencia tradicional,
transacciones mnimas de centavos tales como el robo, el asesinato y terro-
logr acumular cerca de USD$50.000. rismo, entre otros.
Ms all del caso, las transacciones
electrnicas en s fueron vlidas, no se Generalmente, la ciberdelincuencia es
hall delito punible en el acto de llegar considerada como un crimen regular
a depositar centavos de dlar, por lo con una nueva modalidad de reali-
que a Largent no se le inculp por este zacin y un medio que, de una u otra
acto. El fraude se declar en el hecho manera, es vinculado al uso de Internet,
de llegar a falsificar nombres, nmeros pero difiere un poco. Pues bien, la
sociales y asociarlos a las cuentas diferencia es la escala y el alcance de la
bancarias, delito conocido como delincuencia, que utilizando herrami-
fraude bancario. entas de escaneo automtico pueden
ser lanzadas a travs de millones de
Lo que el crimen ciberntico ha hecho personas en cuestin de minutos. Se
es tomarse una gran cantidad de delitos opta por dichos medios, debido a las

60 SISTEMAS
acciones de los delincuentes y ofrece crdito no funciona o se ha cerrado, en
mayor seguridad e integridad fsica realidad se puede obtener un reembol-
para stos, con un nivel de exposicin so de vuelta.
menor, capacidad de existencia de
testigos y algo mucho ms llamativo, la
clandestinidad y persecucin jurdica.
Por ello, es posible que en cuestin de
horas, todo el mundo podra ser
cubierto con el mismo virus, gusano o
cualquier otra cosa. Cmo evolucio-
n? Realmente, la ciberdelincuencia
comenz como un hobby de informti-
cos aburridos y jvenes estudiantes,
cuyo objetivo principal era demostrar su
destreza y mostrar sus habilidades
como hackers a la comunidad de sus
compaeros. Fueron personas con
conocimientos un poco ms avanza-
dos, tratando de superarse unos a
otros. A pesar de que algunos de los Figura 1: Extrado de sitio web a
ataques causaran un grave perjuicio travs de la Deep web. Disponible
econmico, los autores rara vez en: 7jv2q5zyz4ij6yuf.onion
obtenan alguna remuneracin econ-
mica de los ataques. Y en la mayora de Se trata de un negocio real con
los casos, las vctimas son al azar, sin diferentes caractersticas de delito
objetivos especficos. ciberntico. Uno de los principales
fines es recopilar informacin finan-
Sin embargo, desde la dcada de los ciera, secretos comerciales, sobre la
aos 2000, se ha venido produciendo disidencia, y cmo involucrar a las
un cambio gradual hacia las redes del grandes corporaciones en situaciones
crimen y criminales ms organizados, que les representen riesgos.
ms que los piratas informticos
individuales. La delincuencia informti- Y, para cometer un delito no hay que
ca se ha convertido en un gran negocio. tener grandes conocimientos tecnol-
Y como se puede ver a partir de una gicos. De ah que la extorsin se
serie de delitos informticos y las ubique en el segundo grupo, cambian-
violaciones que han ocurrido recien- do sus vectores e ataque en el marco
temente, ellos se estn enfocando en de tecnologas de uso diario, converti-
las empresas que tienen bolsillos das en un mtodo infalible para el acto.
profundos financieros, de los que Los casos ms conocidos perpetrados
pueden obtener dinero. Un ejemplo que por bandas criminales y exempleados
afecta a muchos es la informacin poco conformes, quienes logran tras-
financiera y su hurto, como los nmeros pasar los mecanismos y controles de
de tarjeta de crdito/dbito. Hay un seguridad para amenazar con destruir
enorme mercado donde se pueden los datos o revelar informacin privada,
comprar nmeros de tarjetas de crdito en caso de que no se llegara a pagar
robadas. Y cuando la de tarjeta de dinero por su silencio o proteccin.

SISTEMAS 61
Y, el tercer grupo contempla el fraude Aun as, en nuestro pas existen
en Internet con diferentes modalida- delitos cibernticos poco tpicos, que
des. Por lo general, consiste en se ven como una conducta no
facilitar informacin falsa a un delictiva, debido a la falta de una
individuo especfico o para toda la legislacin ms estricta. Es el caso de
comunidad. Por ejemplo, las cotizacio- la piratera y aquellas acciones que
nes burstiles pueden ser manipula- van en contra de la propiedad
das, mediante la fabricacin de intelectual.
informacin positiva o negativa para
difundirla entre los participantes y La ciberdelincuencia tambin puede
generar subidas y bajadas en los clasificarse con base en la sofistica-
mercados que afectan las acciones. cin del medio utilizado. Tcnicas
Otra parte de la delincuencia acude al criminales implican la intrusin en los
robo de identidad, en el cual los piratas ordenadores y las redes, adems de
informticos pueden asumir la phishing/spoofing, robo de identidad,
identidad de la vctima y asumir su denegacin de servicio, ataques de
personaje en Internet para hacer suplantacin, la manipulacin de los
transacciones en lnea o cualquier otro servicios de datos, o el fraude. Y las
tipo de acciones. El verdadero caractersticas de estos crmenes
problema ms all del delito es incluyen un evento singular o discreto,
realmente la vctima, borrar el nombre siempre desde la perspectiva de la
de ellas de las listas de morosos, para vctima, facilitado por software
obtener su historial de crdito malintencionado, como los registrado-
restaurado, es un problema terrible. res de pulsaciones (keyloggers), bots,

Figura 2: Ejemplo de CryptoLoker, Extrado de Malwarebytes.


Disponible en: http://images.techhive.com/images/article/2014/01/
cryptolocker-100222101-orig.png
62 SISTEMAS
spyware, backddors, o troyanos. Las Hoy se utiliza tecnologas de punta,
caractersticas de la delincuencia como lo son los servicios en la nube; de
social contemplan el uso de herra- ah que el crimeware sea identificado
mientas legtimas como foros de los como CaaS (Crimeware as a Service),
medios sociales, aplicaciones de donde las personas pueden llegar a
mensajera y sitios web de citas. Y las escoger el tipo de servicio requerido.
actividades tales como el acoso, la La caracterstica ms importante de
depredacin de los nios, la extorsin, dicho modelo de negocio es la
el chantaje, el espionaje corporativo clandestinidad que Internet llega a
complejo y el ciberterrorismo son ofrecer, donde los esfuerzos en la parte
tipificados como delito. legal llegarn a ser pieza clave para la
persecucin de los responsables.
Crimeware, lo que es viejo es
nuevo Ciberterrorismo, nuevo campo de
batalla
En aspectos informticos tenemos que
cada tipo de software, segn su No slo los fraudes, engaos, acosos,
propsito final, tiene un nombre robos y accesos no autorizados se
caracterstico. El crimeware debe ser pueden considerar un crimen cibern-
diferenciado del spyware, adware y tico. Ms all, existe una amenaza
malware. El crimeware ha llegado a ser estratgica, el ciberterrorismo. Segn
diseado mediante tcnicas de Denning, ste puede llegar a
ingeniera social y de fraude, tanto entenderse en la convergencia entre lo
online como offline, con el nico que es el terrorismo comn, pero en un
propsito de robo de identidades para mbito ciberespacial. Hecho que se
acceder a cuentas de compaas que basa en fallas, vulnerabilidades y
tienden a pertenecer al sector riesgos tecnolgicos para lograr
financiero, compaas de comercio por intimidar o presionar a un Estado y su
internet y empresas de transacciones sociedad civil. La directiva presiden-
electrnicas. Se considera parte de cial Norteamericana No.13010 de
fraude o crimen, debido a que estos 1998, define ocho sectores crticos
programas estn diseados para robar con servicios vitales para el funciona-
o suplantar la identidad de una persona miento de la nacin, cuya incapacidad
o usuario. de operacin o destruccin tendra un

SISTEMAS 63
impacto directo en la defensa o en la incorpreo. La expresin comercio
seguridad econmica: electrnico puede tomarse de manera
genrica en su significado, mientras
que el error que podemos llegar a
cometer con el prefijo ciber, integra
todo aquello intangible en ese meta-
espacio.

En Colombia, el uso de un entorno


digital y su desarrollo como nacin en
un ambiente ciberespacial presenta
incertidumbres y exposicin a riesgos
en seguridad. Nuestro pas ha hecho
esfuerzos enormes en temas legales y
procedimentales como lo son la ley de
delitos informticos 1273 del 2009, ley
1581 del 2012 proteccin de datos
personales, ley 1623 de 2013 de
inteligencia y criterios de seguridad y
el documento CONPES 3854 sobre
1. energa elctrica, poltica nacional de seguridad digital,
2. produccin, almacenamiento y entre otros.
suministro de gas y petrleo,
3. telecomunicaciones, Sin embargo es posible que las
4. bancos y finanzas, normas nacionales sean inocuas, por
5. suministro de agua, ejemplo, para atacar la pornografa
6. transporte, infantil o para proteger la confidenciali-
7. servicios de emergencia dad de los datos personales. Este
8. operaciones gubernamentales espacio global no slo corresponde a
(mnimas requeridas para atender la economa, sino tambin a otros
al pblico) aspectos sociales como la cultura, la
religin, la raza y la poltica.
El ciberterrorismo puede afectar
infraestructuras crticas de un pas: Actualidad y hacia dnde vamos
sistemas elctricos, produccin, alma-
cenamiento y suministro de combus- Considerando el ciberespacio como
tibles, telecomunicaciones, servicios un nuevo sitio, un lugar donde prcti-
financieros, sistema de suministro de camente desaparece el paradigma de
agua, transporte, en todos sus mbitos que lo real debe ser fsico y tangible,
(areo, fluvial y terrestre). persiste la sensacin de cosas
imaginativas debido a su particulari-
Aspectos legales, no todo es dad de ser incorpreo, un lugar dife-
tecnologa rente al mundo que conocemos. Por
ese cambio de ambiente, tambin se
Es posible llegar a determinar que el percibe un cambio a nivel de compe-
ciberespacio se considera una nacin tencias y un ordenamiento distinto.
globalizada extendida en un mbito Tales razones llevan a considerar la

64 SISTEMAS
necesidad de una Constitucin que le [2] Ventre, Daniel (2015) Chinese
de vida a un nuevo Estado dentro de Cybersecurity and Defense
un marco normativo con reglas de
incuestionable cumplimiento. [3] Goodman, Marc (2016) Future Crimes:
Inside the Digital Underground and the
Battle for Our Connected World
Es necesario tener avances en el
proceso antes de lograr un nuevo [4] CONSEJO NACIONAL DE POLTICA
estado global, y explorar formas ms ECONMICA Y SOCIAL (2016) Poltica
reducidas que agrupen diferentes Nacional De Seguridad Digital. Disponible
naciones, hacia una sociedad global. en: https://colaboracion.dnp.gov.co/
El enfoque de la poltica de cibersegu- CDT/Conpes/Econ%C3%B3micos/3854.
ridad y ciberdefensa, hasta el momen- pdf
to, se ha concentrado en contrarrestar
el incremento de las amenazas [5] Denning, D (2000) Cyberterrorism.
Disponible en: http://www.cs.georgetown.
cibernticas bajo los objetivos de
edu/~denning/infosec/cyberterror.html
defensa y lucha contra el cibercrimen.
Los esfuerzos del pas han posiciona- [6] Su, Emilio (2012) Declaracin de
do a Colombia entre los lderes Derechos del Ciberespacio Disponible en:
regionales, pero es necesario estimu- http://portal.uexternado.edu.co/pdf/7_con
lar la gestin del riesgo en el ciberes- vencionesDerechoInformatico/documen
pacio junto con el desarrollo y tacion/conferencias/Los_Derechos_Hum
evolucin del marco jurdico. anos_en_el_Ciberespacio.pdf

[7] Gragido, Will & Pirc, John (2011)


Referencias Cybercrime and Espionage

[1] Irvine, Cynthia (2014) Security [8] Andress, Jason & Winterfeld Steve
Education and Critical Infrastructures (2011) Cyber Warfare

Joshsua J. Gonzlez Daz, MSc. Ingeniero de Sistemas de la Pontificia Universidad


Javeriana, especialista en seguridad de la informacin de la Universidad de los Andes;
especialista en Derecho Informtico de la Universidad Externado de Colombia y Magster
en Seguridad de la Informacin de la Universidad de los Andes. Actualmente, se
desempea como profesor instructor de la maestra en Seguridad de la Informacin de la
Universidad de Los Andes y CEO de la empresa de consultora Stark Industries SAS.

SISTEMAS 65
Dos

Fraude informtico:
una realidad
emergente en un
mundo digitalmente
modificado
Jeimy J. Cano M., Ph.D, Ed.D(c), CFE
Introduccin Las conductas engaosas mediadas
por estrategias digitales o informti-
Los temas de seguridad y control se cas, revelan una faceta distinta del
han convertido en un tema prioritario fraude, aumentando su capacidad de
para las organizaciones [1]. Las influencia, sus impactos y, sobre todo,
diversas formas de controvertir las aprovechando ahora la movilidad y las
medidas de proteccin, por parte de nuevas propuestas de servicios,
terceros no autorizados o de personal pueden ser usados por terceros para
interno de las empresas, establecen crear escenarios crebles y motivado-
verdaderos retos de monitoreo y res de actuaciones en las personas,
seguimiento que los encargados de la para conducirlas a un artificio [9].
seguridad o del control de fraude
deben afrontar para poder determinar El fraude con componente digital o
que algo est fuera de un patrn tecnolgico es ahora la evolucin
normal [2]. natural de las conductas falaces, que

66 SISTEMAS
encuentran en el fenmeno tcnico un mente sabemos dnde se encuentra,
aliado de su actuar, como quiera que el pero no necesariamente conocemos
anonimato, la inestabilidad de los de donde surge.
rastros y los vacos jurdicos fundan
una dinmica base para desarrollar Fraude: algunas definiciones
actividades que permitan lograr bsicas
defraudar a un tercero, generar una
ganancia y desaparecer sin advertir El fraude es una condicin de engao,
presencia [4]. situacin que revela una ilusin creada
y planeada con determinacin para
El fraude como conducta abiertamente motivar un comportamiento particular
contraria al contexto social y que en una persona. Este ejercicio crea
afecta claramente la confianza en las una ventana de vulnerabilidad -no
instituciones, es una realidad sistmi- percibida por la vctima-, donde el
ca que no se encuentra en la tecnolo- defraudador aprovecha su halo de
ga, los procesos o las personas, sino confianza para envolver a la persona
que es una combinacin de ellas, y materializar su objetivo principal:
tendiente a afectar la buena fe y por obtener un beneficio personal o para
ende crear una zona de zozobra para un tercero.
el afectado, con el fin de lograr un
beneficio ilegtimo como fruto de sus Cualquiera que sea la tcnica de
acciones engaosas y contrarias al engao utilizada, es la tecnologa la
orden establecido. que potencia sus efectos y aumenta su
impacto, como quiera que la superficie
Detectar y procesar conductas de de accin de la misma, est determi-
fraude digital o informtico, implica nada por artefactos tcnicos de uso
comprender la dinmica de la masivo, que generan suficiente
inevitabilidad de la falla, por lo menos confianza en los suscriptores para que
en cuatro dominios: las personas y sus una campaa bien diseada, basada
comportamientos; los procesos y sus en gustos y expectativas de las
riesgos; la tecnologa y sus fallas; personas tenga xito [8].
adems de los cuerpos normativos y
sus vacos, habida cuenta que es all, Basta un clic para comprometer la
en la convergencia de estos cuatro informacin de un individuo; para
elementos donde se configura la generar un vaco de seguridad de la
posibilidad de una falacia que lleva informacin y para concretar un robo
consigo la semilla de un delito mayor de identidad o materializar un ciberata-
[7]. que de grandes proporciones. Detrs
de l, debieron existir meses de
Este documento hace una breve revisin y estudio de gustos y rutinas
introduccin a la temtica del fraude de las personas; inteligencia de
informtico, como una primera mirada fuentes abiertas sobre sus aficiones y
sistmica de la problemtica, enten- preferencias, perfiles de navegacin,
diendo que an existen muchos inclinaciones sociales, acadmicas o
aspectos por resolver e investigacio- polticas, para definir los vectores de
nes que desarrollar, con el fin de dar ataque y afectar a la persona objetivo.
cuenta de una realidad que aparente-

SISTEMAS 67
Defraudador digital: habilidades de fraude, contrasta con la mentalidad
sociales, tcnicas y de exploracin relacional de los defraudadores.
Mientras unos buscan perfiles de
Los defraudadores digitales son actuacin que respondan a patrones
personas hbiles con la tecnologa, las de actividad sospechosos, detectados
relaciones sociales y las estrategias con anterioridad, los delincuentes usan
de bsqueda en internet. Estas la dinmica de la realidad para crear
habilidades llevadas con propsitos versiones ligeramente modificadas,
contrarios desarrollan contextos enri- que los hagan pasar desapercibidos
quecidos y crebles, crean escenarios frente a las tendencias. En tal sentido,
frtiles para que individuos despreve- el defraudador estar tratando de
nidos caigan en las trampas que los evaluar la realidad y definir la cotidiani-
llevan a perder activos de informacin dad, como factor clave de xito para
claves, los cuales pueden ser usados lograr su objetivo con un bajo nivel de
por los delincuentes para cometer deteccin.
otros ilcitos con sus credenciales.
Conexin consciente. Aprender de
El defraudador digital, no es necesaria- la dinmica del fraude
mente un experto en tecnologa, no
tiene edad ni condicin social ni gnero Si sabemos que no podemos anticipar
especfico, pero lo que s lo identifica es muchas de las estrategias de los
su capacidad para ver la realidad delincuentes para superar o sabotear
conectada de la persona o personas los mecanismos de control dispuestos,
objetivo, con lo cual determinan su es necesario desarrollar habilidades
patrn de accin y en forma escalonada complementarias orientadas a apren-
acumulan y relacionan informacin, der y conectar la realidad del fraude,
para fundamentar su estrategia de para detectar la frecuencia de su
engao, elaborada y concreta. intencionalidad y comenzar a seguirle
el rastro ms de cerca.
La dinmica de las redes sociales y los
constantes bombardeos de la publi- En este sentido, el analista del fraude
cidad en lnea, crean una vitrina informtico debe ser lo suficientemen-
privilegiada para los delincuentes en te abierto para desaprender y quebrar
internet, toda vez que se camuflan sus modelos mentales, de manera de
detrs de una de estas estrategias entrar en una conexin consciente con
legtimas de los comerciantes, para la realidad del fraude, que lo lleve a
establecer un perfil de invisibilidad experimentar nuevas propuestas y a
capaz de engaar hasta el cibernauta ampliar su visin estratgica de
ms especializado. En este sentido, deteccin, usando realidades alterna-
contar con el apoyo de la tecnologa de tivas antes inexploradas.
informacin y su capacidad de
correlacin es clave para aumentar la En este sentido, parafraseando las
expectativa de deteccin y accin prcticas de conexin consciente de
sobre actividades ilcitas que compro- un Chief Information Security Officer
metan la esfera personal, social, CISO-, Oficial de Seguridad de la
econmica y poltica de las personas. Informacin [3], en la lectura del
La mentalidad causal de los analistas analista o ejecutivo de control y

68 SISTEMAS
prevencin del fraude, se proponen las Permanecer centrado, en equili-
siguientes acciones: brio. Estar centrado es estar
conectado con la propia fuente de
Dejar de luchar, aprender y equilibrio. En la deteccin, preven-
anticipar. El fraude no es una lucha cin, monitorizacin y control del
contra el engao; se trata de fraude es necesario estar en
encontrar formas diferentes de constante exploracin y conocimien-
mejorar las prcticas de prevencin, to, conscientes de la ambigedad
deteccin, monitorizacin y control. permanente y en movimiento con el
Mientras ms lucha se ejerza contra engao. El responsable antifraude
el oponente, menor capacidad de est centrado, cuando su atencin
accin habr para estudiarlo y est en el fluido del presente y su
superarlo (o anticiparlo). Siempre es energa concentrada en la dinmica
posible dar un paso adelante del del cambio. No se dispersa; por el
fraude, si el afectado es capaz de contrario, identifica la incertidumbre
conectarse con l. Es decir, estructural presente en la realidad.
aprender y desaprender de su din-
mica. Superar las creencias personales.
Entre ms fuertes sean las creen-
Escuchar la voz interior. No cias, ms estrecho ser el punto de
importa lo hbil que el usuario se vista [5]. El ejecutivo antifraude que
haya vuelto para identificar y afrontar quiera tener xito deber ser flexible,
retos en la deteccin, prevencin y conjugar los distintos puntos de vista
monitorizacin del fraude, pues y combinarlos con la perspectiva de
siempre habr momentos de incerti- riesgos. En la medida en que es
dumbre y confusin. Meditar en los posible reconocer otras miradas
mensajes de voz interiores y en los sobre la misma realidad de la
diferentes anlisis y reflexiones amenaza identificada, es posible
frente a la situacin difcil, es una superar y confrontar los lmites que
alternativa. As mismo, detenerse en imponen los propios paradigmas.
el silencio de la conexin con el
fraude, para superar los lmites Capturar informacin de todas
mentales autoimpuestos y poder las fuentes posibles. Cuando se
actuar en consecuencia. advierten situaciones donde se
configuran dilemas, es preciso
Retar los lmites. Buscar dentro de consultar diferentes puntos de vista,
s aquellos paradigmas que parecen aceptando lo que todos tienen que
haber funcionado y ponerlos en ofrecer. La lectura del riesgo es
prctica frente a la realidad existen- relativa al contexto y cada persona
te. No es necesario hacer grandes lo puede leer segn la propia
cambios de estndares y prcticas, experiencia. En este sentido, es
sino tomar aquellos que son claves, necesario configurar una vista
cuyas transformaciones pueden leer agregada de opiniones para revelar
mejor las expectativas de los clientes aquellos intereses inmersos, para
y aumentar la confianza de estos poder tomar una decisin conforme
frente a la deteccin, prevencin y a lo que requiere el momento y la
monitorizacin del fraude. situacin, sin dejarse invadir o

SISTEMAS 69
seducir por una postura en particu- De esta forma, estas comunidades
lar. crean un proceso de cambio de
percepcin, con una secuencia
Aprender a tener intenciones asimtrica de intenciones aparente-
claras. En la deteccin y prevencin mente llenas de luz, las cuales
del fraude, una intencin clara, terminan en resultados que enrique-
significa tener un propsito. Una cen sus bolsillos, dejando al vaivn de
afirmacin que contempla la las otras variables del entorno, las
dinmica de la organizacin y los marcas cognitivas, afectivas, persona-
objetivos de negocio, para hacer les y sociales en sus vctimas.
congruente la prctica antifraude
con las necesidades y retos de la Frente a esta realidad es necesario un
empresa. Un ejercicio que perma- dilogo transdisciplinar orientado a
nece alerta a las seales del una reflexin desde la persona, los
entorno, para tener conciencia de procesos, la tecnologa y las regulacio-
cada paso en la direccin que nes, para facilitar la construccin de
confirma dicho propsito. fundamentos conceptuales de forma
holstica [6], adaptados a la realidad de
Reflexiones finales un mundo digital y conectado, con el
fin de crear una red de conocimientos
La dinmica del fraude informtico o complementarios que valore las
hiperconectado en el contexto de un contradicciones impuestas por la
mundo digitalmente modificado, realidad del fraude y haga de ellos, una
comporta un proyecto de transforma- capacidad clave que considere las
cin social y cultural contrario a la estrategias disponibles a la fecha para
sociedad, que busca desestabilizar y su prevencin, monitorizacin, dete-
tensionar el orden existente, no de ccin y control en las organizaciones
forma preferente y directa, sino con modernas.
acciones discretas y poco visibles, de
tal forma que los miembros de esta Referencias
comunidad con intencionalidad crimi-
nal, independientemente de su condi- [1] Bughin, J., Lund, S. y Manyika, J. (2016)
cin personal, econmica, poltica, Five priorities for competing in an era of
religiosa, social, aportan capacidades digital globalization. Mckinsey Quarterly.
distintivas que capitalizan de forma Mayo. Recuperado de: http://www.mck
integrada, cuando se concretan los insey.com/business-functions/strategy-
engaos para una empresa, persona o and-corporate-finance/our-insights/five-
grupo de inters. priorities-for-competing-in-an-era-of-
digital-globalization.
En este entendido, los defraudadores
[2] lvarez, M. (2016) Insider Attacks May
digitales comparten informacin y
Be Closer Than They Appear. Recuperado
analizan datos de forma colectiva, de: https://securityintelligence.com/
para detectar las tendencias ms insider-attacks-may-be-closer-than-they-
sobresalientes, habida cuenta de que appear/.
ellas servirn de puente y apoyo
necesario para coordinar actividades o [3] Cano, J. (2015) Conexin consciente.
intentos de nuevas formas de trampas. Siete prcticas para habilitar una visin

70 SISTEMAS
trascendente en seguridad de la informa- [7] Kessem, L. (2016) 2016 Cybercrime
cin. Recuperado de: https://www. Reloaded: Our Predictions for the Year
linkedin.com/pulse/conexi%C3%B3n- Ahead. Recuperado de: https://security
consciente-siete-pr%C3%A1cticas-para- i n te l l i g e n ce .co m/2 0 1 6 -cyb e rcri me -
habilitar-en-jeimy. reloaded-our-predictions-for-the-year-
ahead/.
[4] Cano, J. (2016) Cinco premisas de la
delincuencia digital en un mundo [8] Vax, S. (2016) Mobile Malware on
digitalmente modificado. Recuperado de: Smartphones and Tablets: The Inconve-
https://www.linkedin.com/pulse/cinco- nient Truth. Recuperado de: https://
premisas-de-la-delincuencia-digital-en- securityintelligence.com/mobile-malware-
un-mundo-jeimy. on-smartphones-and-tablets-the-inconve
nient-truth/.
[5] Chopra, D. (2014) El alma del
liderazgo. Descubre tu potencial de [9] Verizon (2016) 2016 Data breach
grandeza. Bogot, Colombia: Punto de investigations report. Recuperado de:
Lectura. http://www.verizonenterprise.com/verizon
-insights-lab/dbir/2016/.
[6] De Geus, A. (2011) La empresa
viviente. Hbitos para sobrevivir en un
ambiente de negocios turbulento. Buenos
Aires, Argentina: Grnica.

Jeimy J. Cano M., Ph.D, Ed.D(c), CFE. Ingeniero y Magster en Sistemas y Computacin
por la Universidad de los Andes. Ph.D in Business Administration por Newport University;
Especialista en Derecho Disciplinario por la Universidad Externado de Colombia y
candidato a Doctor en Educacin en la Universidad Santo Toms. Cuenta con un certificado
ejecutivo en gerencia y liderazgo del MIT Sloan School of Management, MA, USA.
Profesional certificado como Certified Fraud Examiner (CFE) por la Association of Certified
Fraud Examiners y Cobit5 Foundation Certificate de ISACA. Director de la revista
Sistemas, de la Asociacin Colombiana de Ingenieros de Sistemas ACIS-.

SISTEMAS 71
PREMIO COLOMBIANO DE INFORMATICA 2016
EMPRENDEDOR COLOMBIANO EN TI
Este ao 2016, la Asociacin quiere hacer un reconocimiento especial
al emprendedor en Tecnologas de la Informacin (TI) destacado, a
nivel nacional. Para merecer el PREMIO COLOMBIANO DE
INFORMTICA 2016, un emprendedor presentado deber cumplir
con los siguientes criterios:

1. Ser nominado por uno o varios miembros de la Asociacin a


travs de la pgina de ACIS.

2. Ser nacional colombiano.

3. Ser un emprendedor destacado en el mbito nacional o


internacional, y presentar al Jurado del Premio 2016
(directamente o por intermedio de su postulante) un resumen
de sus emprendimientos y contribuciones al desarrollo de la
Ingeniera de Sistemas y sus aplicaciones prcticas. nfasis
en sus logros, impacto en la comunidad, su entorno y la
sociedad en general, as como su aporte al desarrollo del pas,
son requeridos.

4. Aceptar los criterios de evaluacin del jurado, su calificacin y


resultados del proceso de seleccin.

Los emprendimientos relacionados NO pueden corresponder a


trabajos acadmicos, como tesis de pregrado o postgrado puesto que
el Premio se dirige a emprendimientos que denoten una considerable
experiencia profesional (las tesis tienen por su parte otros espacios
acadmicos en donde pueden concursar).

Fechas y mayor informacin

Fecha de apertura de la convocatoria: Marzo 30 de 2016.


Fecha de cierre de la convocatoria: Agosto 15 de 2016.

Calle 93 No. 13 - 32 of. 102


Bogot, D.C.
64 SISTEMAS www.acis.org.co