Descargar la presentación
La descarga está en progreso. Por favor, espere
2
Unidad 7: FRAUDES Y DELITOS INFORMATIVOS UNIDAD 7 FRAUDES Y DELITOS INFORMATICOS
3
Objetivos de la Unidad Riesgos de la tecnología informática Algunas consideraciones teóricas del fraude y de los delitos informáticos Principales consideraciones legales Enfoque práctico de lo que es fraude, basado en experiencias (casos). Tomar conciencia de la potencialidad del riesgo de convertirse en fraude y este a su vez en delito. Considerar el riesgo como enemigo de la seguridad y estabilidad empresarial
4
Riesgos de la tecnología informática Errores u omisiones Tecnológicos Humanos Accidentales De la naturaleza Actos intencionales
5
Errores u omisiones De la tecnología Daños al computador Daños a la línea de transmisión Head crash Caída del sistema Falla del sistema operacional Bloqueo de terminales etc...
6
Errores u omisiones Humanos Errores de digitación Error de programación Error de operador u operación Omisión de procedimientos Inexperiencia
7
Errores u omisiones Accidentales Incendio Ruptura de un tubo Explosión Corto circuito etc...
8
De la naturaleza Inundación Terremoto Rayos Huracán Condicionales ambientales extremas
9
Actos intencionales Fraudes Virus Piratería Sabotaje Saqueos “Errores intencionales”
10
Que es fraude? Acto de mala fe que persigue obtener algún beneficio por medio del engaño para el que lo comete. El fraude se realiza de manera deliberada y la mayor parte de oportunidades es producto de una planeación minuciosa. Cometer fraude es un DELITO
11
Unidad 7: FRAUDE FRAUDE NATURALEZA: El tener confianza en los subordinados será muy correcto, emotiva o espiritualmente, pero es necesario admitir que esta fe da lugar a exponerse a toda clase de fraudes. La totalidad de los manejos indebidos en los negocios se deben a empleados que se consideraban dignos de confianza.
12
Unidad 7: FRAUDE FRAUDE ESCALONES ENTRE LA HONRADEZ Y EL FRAUDE Honradez. La necesidad de tener dinero La oportunidad de tomarlo El fraude OTROS CONCEPTOS RELACIONADOS IRREGULARIDADES: omisiones intencionales de cifras o revelaciones en los estados financieros ERRORES: omisiones no intencionales de cifras o de revelaciones en los estados financieros
13
Unidad 7: FRAUDE EL FRAUDE EN LAS COMPUTADORAS ELEMENTOS QUE PUEDEN DAR ORIGEN A LOS FRAUDES Concentración de datos en un departamento especifico. Concentración de datos en depósitos de fácil manejo. Concentración de datos en depósitos de almacenamiento masivo. Reducción del ámbito de personas que conocen de las características de Procesamiento Electrónico de Datos. Diversificación de equipos. Diversificación de recursos técnicos. Diversificación de lenguajes. Excesiva confianza depositada en las personas encargadas del manejo de los equipos. Descuido en la implantación de controles adecuados. Descuido en el acceso al equipo de computo.
14
Unidad 7: FRAUDE EL FRAUDE EN LAS COMPUTADORAS ELEMENTOS QUE PUEDEN DAR ORIGEN A LOS FRAUDES (Continuación) Descuido en el acceso de la información Ignorancia de la capacidad de los equipos. Ignorancia de las características de los equipos. Facilidad con que las personas que trabajan en áreas compatibles pueden ponerse de acuerdo. El nivel de complejidad en la mayoría de sistemas es bajo. No existe auditoria interna o no se interesa por capacitarse en la disciplina de procesamiento electrónica de datos. La gerencia no tiene conocimiento sobre sistemas electrónicos de datos y solo delega en un experto la organización del centro del computo. En general hay poca o ninguna supervisión en las operaciones que efectúa el centro de computo.
15
Unidad 7: FRAUDE EL FRAUDE EN LAS COMPUTADORAS SISTEMAS MÁS VULNERABLES Los sistemas que pagan automáticamente a clientes, empleados o proveedores, son los más propensos al fraude. Los sistemas de control de inventario automático Bancos, financieras, aseguradoras
16
Unidad 7: FRAUDE EL FRAUDE EN LAS COMPUTADORAS TIPOS DE FRAUDES EN EL PROCESO ELECTRONICO DE DATOS Por su naturaleza: patrimonio que resulte afectado Fraude Efectivo: Se da cuando el sustractor obtiene efectivo o títulos negociables. Fraude contra la propiedad: Sucede cuando el defraudador sustrae mercaderías y otros bienes para revenderlos. Piratería: Consiste en sustraer información de la empresa y negociarla con la competencia o chantajear a la misma empresa
17
Unidad 7: FRAUDE EL FRAUDE EN LAS COMPUTADORAS TIPOS DE FRAUDES EN EL PROCESO ELECTRONICO DE DATOS Por la fuente: Se refiere al punto de partida o elemento del sistema utilizado como base para cometer el fraude Agregar, alterar o eliminar transacciones Efectuando cambios en los archivos Efectuando cambios en los programas y/o anteponiendo parches: El parche consiste en incorporar una excepción a la lógica del programa responda con una excepción ante una operación especifica
18
Unidad 7: FRAUDE EL FRAUDE EN LAS COMPUTADORAS TIPOS DE FRAUDES EN EL PROCESO ELECTRONICO DE DATOS Por el número de personas que lo ejecutan Fraude individualizado: un solo individuo Fraude colusionado: dos o más personas Fraudes por sustracción de servicios: Consiste en la utilización de tiempo de computadora u otros servicios a costa de la empresa en beneficio personal
19
Unidad 7: FRAUDE EL FRAUDE EN LAS COMPUTADORAS CARACTERISTICAS DEL DEFRAUDADOR Experiencia en electrónica. Puede desempeñar puestos de cierta importancia dado su nivel. Intelectual. Solvencia Económica Capacidad para no ser descubierto. Inteligencia para hundir un plan difícil de descubrir. Facilidad para actuar sin dejar huella. Habilidad de movimiento en su campo de acción
20
Que es Delito? El delito conlleva daño a la propiedad, las personas o a la sociedad Acción, omisión o actividad prohibida por la ley o la sociedad la cual amerita una sanción o castigo cuando se comete
21
Unidad 7: FRAUDE DELITO INFORMATICO DEFINICION: La acción humana antijurídica típica y culpable de quien maliciosamente procese, altere, borre, dañen o destruya parcial o totalmente, cualquier sistema de computo o red de computadoras, programas de computo o datos de modo que resulte un perjuicio al patrimonio de otra persona.
22
21 ¿ En qué consisten los delitos informáticos ? Consiste en toda acción u omisión culpable realizada por un ser humano, que cause un perjuicio a una persona (individual o jurídica) sin que necesariamente exista un beneficio por parte del actor o que por el contrario produzca un beneficio ilícito a su autor aunque perjudique de forma directa, o indirecta a la víctima, típificado por ley, que se realiza en el entorno informático y que esté sancionado por una pena.
23
Ciclo del Delito Informático Riesgo Delito Fraude Daño Economico o reputacional
24
23 Características de Los Delitos Informáticos Según el Mexicano Téllez Valdez las características principales son: A) Conductas criminales de cuello blanco (white collar crime) solo personas con cierto grado de conocimientos técnicos pueden llegar a cometerlos. B) Son acciones ocupacionales. C)Acciones de oportunidad. D) Provocan serias pérdidas económicas,
25
24 Características de Los Delitos Informáticos Según el Mexicano Téllez Valdez las características principales son: e) El medio (Redes informáticas) ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse. F) Son muy sofisticados y relativamente frecuentes en el ámbito militar. G) Por su carácter técnico, presentan grandes dificultades para su comprobación. E) Anonimato
26
Unidad 7: FRAUDE DELITO INFORMATICO ELEMENTOS DEL DELITO INFORMATICO INTENSION maliciosa Propósito de disfrazar u ocultar el intento de cometer un delito Confianza y los conocimientos del delincuente Asistencia voluntaria, por parte de la víctima, al futuro delincuente Cuidadoso ocultamiento del delito que ofrece el computador
27
Unidad 7: FRAUDE DELITO INFORMATICO ELEMENTOS DEL DELITO INFORMATICO (DERECHO) El elemento personal: EL DELINCUENTE INFORMATICO El elemento real: el perjuicio ocasionado al bien o la cosa El elemento formal: legislación adecuada, por una norma que tipifique el delito ocasionado.
28
Unidad 7: FRAUDE DELITO INFORMATICO MOTIVOS DEL DELINCUENTE INFORMATICO Es el blanco ideal porque no tiene sentimientos. Se presta para jugar y explotar sus limites. Con toda su tecnología representa un reto a la inteligencia humana.
29
Unidad 7: FRAUDE DELITO INFORMATICO PERFIL DEL DELINCUENTE INFORMATICO Jóvenes que oscilan entre 18 y 30 años Autodidactas Actúan por primera vez o al azar sin poseer altos conocimientos informáticos
30
Algunos Delitos informáticos Destrucción de cables de comunicación Ataques a ATM`s Desconexión intencional de cables Detonación de bombas Robo o secuestro de partes vitales Fraude : cambio de fechas Extorsión : virus Omisión intencional Piratería Secuestro de software
31
Psicosis de la Guerra de Irak Durante la guerra de Irak, aparecieron correos electrónicos en el cual declaraban pertenecer a familias acaudaladas con posesiones de pozos petroleros, oprimidos por Saddam Hussein, en el correo se solicitaba ayuda económica a cambio de compensaciones que se harían efectivas cuando lograrán salir de Irak, dichas retribuciones (en algunos casos millonarias) nunca llegaron.
32
Caso del Ingeniero Siglo XXI 30 de enero de 2003 Monto estafado estimado Q. 200 millones Solicitud de chequeras con firmas y documentación falsa Falsificación de cheques con características bancarias casi perfectas Apertura de cuentas personales y de empresas con documentos falsos en la cuales depositaban el dinero estafado Transacciones electrónicas entre cuentas Edad del acusado 41 años
33
Registro de la propiedad Siglo XXI 16 de mayo de 2003 Monto estafado US$ 54 mil mensuales Provocación de fallas intencionales para mantener vigente el contrato de mantenimiento Centralización del control operativo, soporte, desarrollo y mantenimiento del sistema Persona acusada 23 años de edad
34
Caso Extractos bancarios para visas americanas Se sustrajo papelería en blanco de estados de cuenta de una entidad bancaria Por medio de un computador personal se diseño un programa que permitía imprimir estados de cuenta ficticios en la papelería original con los movimientos y saldos que el cliente indicara El extracto era vendido al cliente en función del promedio de montos consignados.
35
Caso Oferta de cursos especializados Se ofrecían cursos especializados a bajo costo por medio de INTERNET Se solicitaba información general del solicitante y numero de tarjeta de crédito Una vez se obtenía la información se utilizaba para defraudar a terceras personas
36
Caso Robo de listas de clientes Los listados eran enviados a la basura por el operador sin ser destruidos Posteriormente el operador o un cómplice los recuperaba en los depósitos de basura externos de la empresa. Los listados eran vendidos a la competencia a razón de U$ 20 cada hoja
37
Caso Secuestro de software Una empresa contrato a un programador para desarrollar un sistema El programador se llevo los programas fuentes y la documentación y pide rescate El extorsionador fue aprendido y el programa y documentación del sistema fue retenido como evidencia La empresa estuvo al borde del colapso La empresa debió contratar un ladrón para que entrara a las oficinas de la policía para sacar copias de los discos y documentación.
38
Caso Cambios de fecha de pago Se requerían nuevamente pagos efectuados con bastante antelación Si el cliente pagaba, el dinero era sustraído por el defraudador Si el cliente reclamaba se le decía que era un error del sistema La situación del cliente en el sistema era normalizada
39
38 Delitos Informáticos en perspectiva Los delitos informáticos pueden ser examinados desde dos puntos: a) Los delitos que causan mayor impacto a las organizaciones (Fraudes, Sabotajes, Piratería) b) Los delitos más difíciles de detectar (Aquellos producidos por personas que trabajan internamente en una organización y conocen perfectamente la configuración interna de las plataformas o los sistemas en los que desarrollan la actividad ilícita. )
40
39 Tipificación de los delitos informáticos Clasificación según la actividad informática: Sabotaje Informático Sabotaje Informático : El término sabotaje informático comprende todas aquellas conductas dirigidas a causar daños en el hardware o en el Software del sistema. Básicamente se pueden distinguir dos métodos utilizados para llevar a cabo sabotajes: Por un lado las conductas dirigidas a causar destrozos físicos y por el otro, los métodos dirigidos a causar daños lógicos.
41
40 Sabotaje Sabotaje Conductas dirigidas a causar daños físicos: Conductas dirigidas a causar daños físicos: Abarcan todo tipo de conductas destinadas a la destrucción física del hardware y el software de un sistema (incendio, explosiones, etc...) Conductas dirigidas a causar daños lógicos: Conductas dirigidas a causar daños lógicos: Todas aquellas conductas que producen como resultado, la destrucción, ocultación o alteración de datos contenidos en un sistema informático. Esto se puede lograr mediante actos simples “el borrado o alterado de la información” o mediante programas destructivos.
42
41 Sabotaje 2 Sabotaje 2 Los programas destructivos, utilizan distintas técnicas de sabotaje, muchas veces, en forma combinada. Sin pretender realizar una clasificación rigurosa de estos métodos, podemos mencionar: a) Bombas Lógicas (Actúa mediante fecha, plazo o mediante la introducción de un dato) b) Cáncer de Rutinas: (Programas destructivos que se producen por sí mismos, en otros programas, arbitrariamente escogidos) c) Virus Informáticos (Un programa capaz de multiplicarse por sí mismo y contaminar los otros programas que se hallan en el mismo disco duro donde fue instalado y en los datos y programas contenidos en los distintos discos con los que toma contacto a través de una conexión)
43
42 Fraude a través del uso de Computadoras Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas. Ya sea mediante la manipulación del input (del ingreso de datos o la alteración de los existentes)
44
43 Estafas electrónicas La proliferación de compras por medio de Internet, han sido una de las causas fundamentales por las que se han incrementado los casos de estafa. Actividades: Pesca u Olfateo: de Claves Secretas: Los delincuentes suelen engañar a los usuarios incautos para que revelen las claves privadas y otros datos de identificación personal para ser utilizados posteriormente con fines ilícitos. Estratagemas: Los estafadores utilizan diversas técnicas para ocultar computadoras mediante la creación de similitudes electrónicas con otras para lograr el acceso a algún sistema generalmente restringido y cometer delitos. Juegos de Azar (Legislación de Guatemala es delito) aunque se lleve a través de Internet. Fraude: Ofertas fraudulentas. Blanqueo de dinero: Internet como medio permite la transferencia electrónica de mercancías o dinero para lavar las ganancias que deja el delito, sobre todo si se pueden ocultar transacciones.
45
44 Delitos contra el derecho de autor y demás derechos conexos Copia, renta, venta y distribución ilegal de Software y programas informáticos. Copia, renta, venta y distribución de datos que contienen bases de datos o intromisión ilegal en bases de datos. Uso ilegítimo de sistemas informáticos ajenos (Personal de empresas utilizan los sistemas informáticos con fines personales o para llevar a cabo actos ilegales). Acceso No autorizado: Ocurre cuando un tercero sin autorización, ingresa datos personales o claves de seguridad (de un tercero autorizado) para acceder a un sistema.
46
45 Delitos Informáticos contra la Privacidad Consiste en el grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulación, archivo y divulgación inbebida de datos contenidos en sistemas informáticos. Se refiere a quien sin estar autorizado, se apodere, utilice o modifique en perjuicio de tercero, datos reservados de carácter personal o familiar que se encuentren en soportes electrónicos. Como circunstancias agravantes se señalan: el carácter de los datos (Ideología, religión, creencias, salud, origen racial y vida sexual) Las circunstancias de la víctima: menor de edad e incapacitado. Ya sea mediante la obtención de bases de datos o la interceptación de comunicaciones.
47
46 Delitos Informáticos (Como medio o como fin) Como Instrumento o medio conductas criminales que se valen de las computadoras como método, medio o símbolo en la comisión del ilícito, por ejemplo: a) Falsificación de documentos vía computarizada (tarjetas de crédito, cheques, etc) Variación de los activos y pasivos en la situación contable de las empresas Planeamiento y simulación de delitos convencionales (robo, homicidios, fraudes, etc) Lectura, sustracción y copiado de información confidencial Modificación de datos tanto en la entrada como en la salida variación del destino de pequeñas cantidades de dinero hacia una cuenta bancaria. Alteración en el funcionamiento de los sistemas a través de Virus Intervención de vías de comunicación
48
47 Delitos Informáticos (Como medio o como fin) Como fin u objetivo: Se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad física, por ejemplo: Destrucción de programas por cualquier método. Daño a la memoria. Atentado físico contra la máquina Sabotaje político o terrorismo en que se destruya o surja un apoderamiento de los centros neurálgicos computarizados. Secuestro de soportes magnéticos entre los que figure información valiosa con fines de chantaje.
49
48 Actividades Delictivas Graves Terrorismo Terrorismo. Sitios web y otros contenidos que inducen a actividades terroristas. Así mismo, sitios, contenidos y mensajes que contienen instrucciones en la fabricación de materiales explosivos con fines terroristas. Narcotráfico Narcotráfico Transmisión de fórmulas para la fabricación de estupefacientes. Coordinación de estrategias de entrega, recepción y pago de drogas. Lavado de dólares. Espionaje: Espionaje: Acceso no autorizado a los sistemas informáticos gubernamentales o del servicio secreto de los Estados Otros delitos. Otros delitos.
50
49 Cybercrimen: (Retos de la atribución del delito) a) El anonimato (Falta de identidad) b) Si el delito se comete en Internet u otras redes digitales, los efectos transnacionales y las dificultades de situar el lugar de comisión del delito y por ende ley y jurisdicción aplicable. La falta de gobierno o de autoridad internacional que tenga por objeto perseguir este tipo de delitos en un ámbito internacional La falta de seguridad física y lógica de algunos servidores y sitios en Internet. La falta de legislación uniforme mundial que otorgue a los medios electrónicos el rango de prueba ante el juez competente. (Guatemala)
51
50 Disposiciones del Código Penal de Guatemala En Guatemala, los delitos informáticos se encuentran recogidas en el Código Penal, Título VI de los “Delitos contra el Patrimonio”. Capitulo VII: De los Delitos contra el Derecho de Autor, la Propiedad Industrial y Delitos Informáticos Reformado por el artículo 12 del Decreto 33-96 Reformado por el artículo 3 del Decreto 48-95 Reformado por el artículo 43 del Decreto 56-2000
52
51 Violación al Derecho de Autor y Derechos Conexos: (Artículo 274) será sancionado con prisión de uno a cuatro años y multa de un mil a quinientos mil Quetzales, Salvo los casos de excepción contemplados expresamente en las leyes o tratados sobre la materia de los que Guatemala sea parte, será sancionado con prisión de uno a cuatro años y multa de un mil a quinientos mil Quetzales, quien realizare cualquiera de los siguientes actos:
53
52 Actos o Conductas sancionadas (1) Actos o Conductas sancionadas (1) : o La atribución falsa de la calidad de autor y/o titular de un derecho de autor, de artista, interprete o ejecutante, de productor de fonograma o de un organismo de radiodifusión. o La deformación, mutilación, modificación o cualquier atentado que acuse perjuicio a la integridad de la obra o al honor y reputación del autor; o La Reproducción de cualquier obra, de una interpretación o ejecución, de un fonograma o de una emisión, sin autorización del autor o titular del derecho correspondiente; o La adaptación, arreglo o transformación de una obra protegida o de parte de ella, sin autorización del autor o del titular del derecho.
54
53 Actos o conductas sancionadas (2): La comunicación al público por cualquier medio o procedimiento de una obra protegida o de un fonograma, sin la autorización del titular del derecho correspondiente; La distribución de reproducciones no autorizadas, totales o parciales, de una obra protegida o de un fonograma, ya sea por medio de la venta, el arrendamiento con opción a compra, el préstamo o en cualquier otra forma; La fijación, reproducción o comunicación al público de una emisión o transmisión efectuada en un lugar al que el público pueda acceder mediante el pago de un derecho de admisión, o bien para efectos de consumir o adquirir productos o servicios sin la autorización del titular del derecho correspondiente;
55
54 Actos o conductas Sancionadas (3) La publicación de una obra protegida con el título cambiado o suprimido, con o sin alteración de la misma; La decodificación de señales transmitidas por satélite o cualquier otro medio de telecomunicación, portadoras de programas de cualquier tipo, sin la autorización del distribuidor legítimo; La realización de cualquier acto que eluda o pretenda eludir una medida tecnológica implementada por el autor o el titular del respectivo derecho o del titular de un derecho conexo, para evitar la utilización no autorizada de todo tipo de obra, de un fonograma de una interpretación o ejecución artística o de una emisión protegida
56
55 Actos o conductas Sancionadas (4) La realización de cualquier acto que induzca, permita, facilite u oculte una infracción a cualquiera de los derechos exclusivos correspondientes a los autores, a los titulares de un derecho de autor, a los artistas intérpretes o ejecutantes, a los productores de fonogramas o a los organismos de radiodifusión; La supresión o alteración no autorizadas de cualquier información electrónica sobre la gestión colectiva de los derechos de autor y derechos conexos; La distribución, comercialización, promoción, importación, emisión o comunicación al público sin autorización de obras, interpretaciones o ejecuciones artísticas, producciones, fonogramas o emisiones, sabiendo que la información electrónica sobre la gestión colectiva de cualquiera de esos derechos ha sido suprimida o alterada sin autorización;
57
56 Actos o conductas Sancionadas (5) El transporte, almacenamiento u ocultamiento de reproducciones o ejemplares en cualquier tipo de soporte u ocultamiento de reproducciones o ejemplares en cualquier tipo de soporte material, de obras protegidas, de fonogramas, de interpretaciones artísticas o ejecuciones de fonogramas o de emisiones de órganos de radiodifusión protegidos, o la realización de cualesquiera otras actividades propias de una sociedad de gestión colectiva, sin estar facultado para tales efectos; La divulgación de una obra inédita sin el consentimiento del autor o del titular del respectivo derecho; La reproducción, total o parcial de una obra sin la autorización del autor o titular del derecho correspondiente; La traducción, total o parcial de una obra sin la autorización del autor o del titular del derecho correspondiente;
58
57 Actos o conductas Sancionadas (6 ) La distribución no autorizada del original o reproducciones legítimas de una obra protegida o de un fonograma, ya sea por medio de la venta, el arrendamiento, el alquiler, el arrendamiento con opción a compra, el préstamo o en cualquier otra forma; y La importación o explotación del original o de reproducciones de toda obra protegida, con fines de explotación comercial, en cualquier tipo de soporte o de fonogramas, sin la autorización del titular del derecho respectivo. La determinación de los supuestos contenidos en esta norma se hará con base en las disposiciones aplicables de la Ley de Derecho de Autor y Derechos Conexos. La determinación de los supuestos contenidos en esta norma se hará con base en las disposiciones aplicables de la Ley de Derecho de Autor y Derechos Conexos.
59
58 Artículo 274 “A” Destrucción de Registros Informáticos : Será sancionado con prisión de seis meses a cuatro años, y multa de doscientos a dos mil quetzales, el que destruyere, borrare o de cualquier modo inutilizare registros informáticos. La pena se elevará en un tercio cuando se trate de información necesaria para la prestación de un servicio público o se trate de un registro oficial. Conductas sancionadas : “El que destruyere, borrare o de cualquier modo inutilizare registros informáticos”. La pena se eleva si la información que ha sido destruida, borrada o de cualquier modo inutilizada sea necesaria para un servicio público o se trate de un registro oficial (Naturaleza pública y necesaria de la información).
60
59 Artículo 274 “B” Alteración de Programas La misma pena del artículo anterior (274 “A”) se aplicará al que alterare, borrare o de cualquier modo inutilizare las instrucciones o programas que utilizan las computadoras. Actos sancionados: la alteración, eliminación o utilización de las instrucciones o programas de computador.
61
60 Artículo 274 “C” Reproducción de instrucciones o programas de computación Artículo 274 “C” Reproducción de instrucciones o programas de computación: Se impondrá prisión de seis meses a cuatro años y multa de quinientos a dos mil quinientos Quetzales al que, sin autorización del autor, copiare o de cualquier modo reprodujere las instrucciones o programas de computación. Actos sancionados : Quien sin la autorización del autor, copiare o de cualquier modo reprodujere las instrucciones o programas de computación.
62
61 Artículo 274 “D” Registros Prohibidos: Se impondrá prisión de seis meses a cuatro años y multa de doscientos a mil quetzales, al que creare un banco de datos o un registro informático con datos que puedan afectar la intimidad de las personas. Actos sancionados: la creación de un banco de datos (base de datos) o un registro informático con datos o información que pueda afectar la intimidad de las personas.
63
62 Artículo 274 “E” Manipulación de Información Se impondrá prisión de seis meses a cinco años y multa de quinientos a tres mil Quetzales, al que utilizare registros informáticos o programas de computación para ocultar, alterar o distorsionar información requerida para una actividad comercial, para el cumplimiento de una obligación respecto al Estado o para ocultar, falsear o alterar los estados contables o la situación de una persona física o jurídica. Actos sancionados: Quien utiliza registros informáticos o programas de computación para: Ocultar, alterar o distorsionar información requerida para una actividad comercial o para el cumplimiento de una obligación respecto al estado o para ocultar la situación financiera de una persona ya sea individual o jurídica.
64
63 Artículo 274 “F” Uso de Información Se impondrá prisión de seis meses a dos años, y multa de doscientos a mil quetzales al que sin autorización, utilizare los registros informáticos de otro, o ingresare, por cualquier medio, a su banco de datos o archivos electrónicos. Conductas sancionadas: a) El que utilizare registros informáticos de otro (sin su autorización) o b) Ingresare, por cualquier medio a su banco de datos o archivos electrónicos (sin autorización).
65
64 Artículo 274 “G” Programas destructivos Será sancionado con prisión de seis meses, de tres a cuatro años y multa de doscientos a mil quetzales, el que distribuyere o pusiere en circulación, programas o instrucciones destructivas, que puedan causar perjuicio a los registros, programas o equipos de computación. Conductas sancionadas: la distribución o puesta en circulación de programas o instrucciones destructivas, que puedan causar perjuicio a los registros, programas o equipos de computación. Artículo 275. Violación a derechos de Propiedad Industrial.
66
65 Avances Internacionales Convención del Cibercrimen de la Unión Europea: Budapest, 23 de Noviembre del 2001 Legislación Federal de los Estados Unidos relacionados con delitos informáticos y en Internet (Federal Computer Intrusion Laws)
67
66 La ONU resumió los problemas de carácter internacional que acarrean los delitos informáticos: Falta de acuerdos globales acerca de que tipo de conductas deben constituir delitos informáticos; Ausencia de acuerdos globales en la definición legal de dichas conductas delictivas Falta de especialización de las policías, fiscales y otros funcionarios judiciales en el campo de los delitos informáticos. Falta de armonización entre las diferentes leyes procesales nacionales acerca de la investigación de los delitos informáticos Ausencia de tratados de extradición, de acuerdos de ayuda mutuos y de mecanismos sincronizados que permitan la puesta en vigor de la cooperación internacional.
68
Estereotipos de fraudes Caballo de troya Técnica del salami Bombas lógicas Superzapping Trampas puerta Alteración de información Acceso no autorizado Intercepción o pinchazo Escobillas
69
Caballo de troya Colocar instrucciones adicionales y/o modificar las existentes en un programa sin alterar su lógica para propósitos ilícitos o no autorizados Puede aplicarse en el software operativo o aplicativo Fácil de esconder entre cantidades grandes de código de programación Se implantan generalmente de manera paralela al efectuar actualizaciones autorizadas dentro del sistema
70
Que es un virus? Microinstrucciones que son capaces de reproducirse generando un ambiente parasitario. Algunos son únicamente diversión, la mayoría causan daño a los sistemas
71
Virus Empleado descontento logro alojar un virus en la base de datos financiera de la empresa para la cual trabajaba. Al activarse el virus causó daños aparentemente severos. Empresa tuvo que contratar los servicios “especializados” del ex-empleado para corregir la falla. El extorsionista aplico antivirus o vacuna especifica para corregir alteraciones en la BD.
72
Técnica del salami Robo o sustracción de cantidades mínimas de un gran numero de registros, alterando el programa. Los fondos así obtenidos se aplican a una cuenta especial Los totales de control no cambian.
73
Redondeo 1.Instrucción 2.Instrucción 3. Deje valor de intereses en múltiplos de 0.10 4. Diferencia trasladelos a cuenta 01-02-089471 5.Instrucción 6. Instrucción 7.Instrucción oSe abre una cuenta de ahorro en el banco a defraudar oEn el proceso de calculo de intereses sumar a dicha cuenta las fracciones remanentes de los múltiplos de Q. 0.10 que se sustraen a todas las cuentas
74
Bomba lógica Se programa un estado o condición especifica Al cumplirse la condición o estado preestablecido la rutina definida se ejecuta efectuando la transacción o rutina no autorizada Mientras el estado o condición no se cumpla el programa se ejecutara normalmente
75
Bomba lógica 1.Instrucción 2.Instrucción 3. Si fecha = 22/12/02 o 23/12/02 transfiera Q. 1.0 millón a cuenta 02-03-45789 4. Sume a saldo de oficina Q1.0 millón 5.Si saldo cuenta 02-03-45789 = Q.2.0 millones borrar TRAN_S 6. Instrucción 7.Instrucción 8.Instrucción 9.Instrucción 10.Instrucción Acceso al programa Implantar bomba lógica Abrir cuenta no personalizada Transferir 22 y 23 de diciembre Retirar dinero (optativo)
76
Superzapping Nombre derivado de SUPERZAP programa utilitario de IBM que se utilizó extensamente en los inicios de la computación Estos programas poseen la característica de ser herramientas muy poderosas, están especialmente diseñadas para resolver problemas técnicos, lo que al mismo tiempo las convierte en recursos peligrosos por su misma potencialidad dentro de los sistemas. Este tipo de herramienta permite ignorar controles, facilita accesos no autorizados, lee, edita y se pueden modificar registros, etc... Generalmente son utilizados por personal del área técnica de informática.
77
Trampas puerta Los sistemas operacionales poseen puertas de acceso, definidas para adaptarlas a las condiciones particulares de una instalación tecnológica. También tienen salidas que pueden ser fácilmente adaptadas a ejercer un control por medio de un programa escrito por el usuario.
78
Trampas puerta Estas puertas pueden ser utilizadas para introducir modificaciones no autorizadas, por personal experto en informática. Estas puertas también permiten la transferencia de información, sin dejar rastro alguno.
79
Alteración de información Correcciones se efectúan directamente sobre datos primarios No existen niveles de supervisión Niveles de seguridad inapropiados Empowerment mal aplicado correcciones grabación
80
Omisión de validaciones 1.Instrucción 2.Instrucción 3. Si USUARIO = IECH3015 vaya a 7. 4. Instrucción de validación 5.Instrucción de validación 6. Instrucción de validación 7.Acepte monto a trasladar 8.Ejecute rutina de traslado 9.Instrucción 10.Instrucción Persona es contratada por un banco para desarrollar un sistema Elabora y deja bomba lógica Se retira del banco Desde otro país acceso al sistema Con PASS acceso y transfiere dinero a su cuenta Compra diamantes
81
Edición de datos
82
Asignación de privilegios sin dejar huella 1. Instrucción 2. Instrucción 3. Si PW = 4056drfl ir a paso 6 4. Instrucción 5. Instrucción 6. Asignar privilegios de supervisor a 4056drfl 7.Borrar instrucciones 3,6,7 9. Instrucción Este tipo de alteraciones pueden permanecer invariables por un periodo de tiempo indefinido. Algunas veces se usan únicamente para sentir poder dentro de un sistema Sus consecuencias no se pueden estimar con precisión
83
Alteración de información En las primeras etapas del fraude, se cambia información durante la entrada al sistema o a la salida del mismo. Después alterando la información directamente de la base de datos. Este ultimo es mas difícil de detectar
84
Accesos no autorizados Poseer accesos no autorizados a recursos informáticos físicos o lógicos (hardware o software, BD) Burlar el sistema de seguridad utilizando passwords ajenos Desarrollar rutinas de acceso cuando el sistema tiene activado conteo de intentos fallidos.
85
Pantalla falsa... 1 Se instaló pantalla falsa de acceso El usuario al no recibir respuesta reseteo la terminal El password quedó grabado Por medio del password se transfirieron mas de 13.5 millones de dólares de un banco en Austria a uno en Suiza.
86
Pantalla falsa... 2 Instalación de pantalla falsa Se obtiene información del usuario Se utiliza la información para compras por teléfono
87
Clonación de documentos Colocación de buzón-gancho en ATM Se recupera tarjeta Desencripta información Se utiliza “hot card”
88
Intercepción o pinchazo Intervención de circuitos de transmisión de datos en cualquier punto Terminales y concentradores Terminales y computadoras Entre computadoras Intercepción del... Cable físico Fibra óptica Micro ondas Otros (caso Alemania)
89
Escobillas Se obtiene la información por medio de los periféricos del computador, listados, disquetes, apuntes, etc. Normalmente los usuarios de computadoras efectúan borrados lógicos de archivos, remoción de etiquetas, nombres identificadores, contenidos de archivos. Estas pistas son suficientes para los defraudadores.
90
Actitud ejecutiva Hacia el error Predisposición de controlarlo preventivamente Normalmente mejor preparado Actúa proactivamente Hacia el fraude Predisposición a controlarlo correctivamente Normalmente no esta preparado Actúa reactivamente
91
Consideraciones... 1 El fraude informático no ha sido bien entendido Los administradores de empresas no están conscientes del nivel real de vulnerabilidad a que están expuestos No hay métodos estándar para su prevención, detección y corrección. Falta habilidad para su control (conciencia de costo- beneficio) Existe sensacionalismo, aun cuando solo se conoce la punta del iceberg Probablemente mas del 85% de los fraudes no se reportan
92
Consideraciones... 2 Frecuentemente se argumenta que si se divulga un fraude... La publicidad adversa puede generar perdidas superiores a las del fraude Desconocimiento de cómo protegerse contra esa vulnerabilidad que afecta a la empresa Sirve de escuela o entrenamiento para potenciales defraudadores
93
Consideraciones... 3 Muchas empresas concluyen que es mejor darle un “ manejo administrativo ”, que reportarlo a las autoridades. Esto permite que generalmente el culpable se salga con la suya.
94
Consideraciones... 4 En nuestro medio los fraudes informáticos, a pesar de ser claramente de naturaleza delictiva, tienden a considerarse únicamente como “ incidentes ” Mínimos son juzgados y pocos delincuentes castigados Muchos se manejan como disputas, fuera del contexto legal La mayoría concluyen con el despido del empleado o empleados responsables
95
Conclusiones Potencializar los riesgos como probables fraudes La escala de valores morales, fidelidad y honradez de los empleados y ejecutivos han sufrido un considerable deterioro Mas transacciones automatizadas = + riesgo Transacciones de mayor cuantía = + impacto Los fraudes generalmente inician a baja escala monetaria El riesgo se puede minimizar no eliminar
96
Conclusiones Se debe... Mantener una permanente conciencia de riesgo Desarrollar habilidades para prevenir riesgos Desarrollar metodología de evaluación permanente Permanecer alerta a la evolución tecnológica
97
Conclusión La mejor forma de combatir los fraudes informáticos es tomando conciencia de su existencia, forma de operar, determinación de las áreas vulnerables de las empresas y actuar en forma anticipada en contra del mismo, por medio de la implementación de controles preventivos efectivos.
98
Bibliografía Auditing the maintenance of software, S. Rao Vallabhanemi, Prentice Hall. ATM Security Handbook. Bank Administration Institute Como prevenir los fraudes en los negocios. Ian Huntington y David Davies. KPMG Peat Marwick Computer Security Handbook, Richard H. Baker McGraw Hill Crime by Computer, Don B. Parker Seguridad para INRANET e INTERNET, Edwar Amoroso y Ronald Shar, Prentice Hall Audit consideration in electronic funds transfer system AICPA
99
98 Sitios de Interés http://www.usdoj.gov/criminal/cybercrime/Pat riotAct.htm www.delitosinformaticos.com www.gocsi.com http://www.onnet.es/04001001.htm http://europa.eu.int/information_society/topic s/telecoms/internet/crime/forum/index_en.ht m http://europa.eu.int/ISPO/eif/InternetPolicies Site/Crime/CrimeCommEN.html
100
WEB SITES http://comunidad.derecho.org/gmontoya/files/info06.htm http://www.diarioti.com/noticias/2001/may2001/15195124.htm http://www.eniacsoluciones.com.ar/terragni/doctrina/delinfo1.htm http://personales.com/chile/tarapaca/www.hys.com/Delito.html http://www.lasemanajuridica.cl/LaSemanaJuridica/867/article-7353.html http://www.ubik.to/vr/vr15/ley.htm http://www.ubik.to/vr/vr12/chile.htm http://www.delitosinformaticos.com/noticias/
Presentaciones similares
