Universidad Nacional Experimental de Guayana

Vicerrectorado Académico

Dpto. de Ciencia y Tecnología

Ingeniería en Informática

Auditoria

Sección 01

Auditoria Forense

Integrantes:

Giamfranco Tarantini

Asdrubal Oviedo

Puerto Ordaz, 30 de Mayo de 2012

INTRODUCCION

Ahora que nos encontramos en el tercer milenio, nos damos cuenta que estamos

viviendo en un nuevo mundo, el cual evoluciona sin cesar, acelerándose cada día más.

Hoy hemos pasado de una economía de endeudamiento a una que se rige bajo la ley de

la oferta y la demanda, en una aldea común, donde cada vez más las fronteras de los

países van desapareciendo. Esta nueva economía ya no exige al líder de la empresa un

resultado positivo del ejercicio contable, sino una «creación de valor» presente y

previsto y enteramente competitivo. En esta nueva economía, que descansa en el

conocimiento, todos tienen la vocación de ser más libres, pero también más

responsables; la responsabilidad de conducir su carrera, de dirigir su propia empresa y

destino.

Ese entorno es en el que interactúan ahora las organizaciones y naciones, y lo

bueno o malo es que se caracteriza además por ser dinámico y cambiante, a una

velocidad tal, de que si no vamos a su ritmo, podemos quedar desfasados y obsoletos

por utilizar un poco de lenguaje contable. Desgraciadamente, a países como los

nuestros, esta nueva economía no nos encuentra bien parados y por el contrario ha

despertado otros fenómenos como son la corrupción y el fraude que cada vez más se

convierten en situaciones de alto riesgo que los líderes de las organizaciones, privadas o

públicas deben evaluar para analizar la probabilidad de ocurrencia e impacto, de tal

manera de gerenciarlas o controlarlas.

Vivimos en una país con un nivel de pobreza del 54% y el 20% de indigencia

(según datos oficiales), la realidad es más cruda. Con una corrupción a todo nivel. Con

un Poder Judicial endeble y permeable al dinero, con políticos cuestionados, desde el

vicepresidente, hasta ministros y congresistas. No hay seguridad ciudadana, las

negligencias médicas y de otras profesiones son noticias de todos los días. Por otro lado,

el mandatario actual tiene una aceptación del 7%, el gobierno tambalea, la figura

presidencial se deteriora día a día. En medio de esta debacle nacional, la corrupción y

los fraudes en las empresas, se incrementan geométricamente.

El problema número uno está constituido por el desempleo y el subempleo, que

no pueden ser resueltos por los gobiernos, sino por los aportes de la actividad privada.

El segundo gran problema es la corrupción. En el mundo de hoy, más de la mitad de la

culpa es por la corrupción de los empresarios. Otra parte es de los gobiernos, otra de la

sociedad civil, que los deja y les hace el juego por debajo de la mesa. El problema que

se armen nuevas redes de corrupción no se resuelve con un cambio de gobierno. Hace

falta que la sociedad invente algo diferente. Algo como vigilar desde abajo y/o crear

formas de hacer publico y castigar al corrupto. De allí que la Auditoria Forense sea, en

opinión de muchos, una forma de poder castigar a los corruptos.

El fraude es la mayor preocupación en el ambiente de los negocios en la

actualidad, por lo que combatir este flagelo se ha convertido en uno de los objetivos

corporativos tanto a nivel privado como gubernamental, debido a estas crecientes

necesidades surge la denominada: Auditoría Forense.

Objetivo General y Especificos del Proyecto grupal

Objetivo general

- Desarrollar un portal web que sirva de alojamiento y permita la visualización de los

contenidos multimedia generados en el curso de Auditoría y Evaluación de Sistemas,

sirviendo de referencia para la búsqueda de información por parte de profesionales o

personas con actividades afines a la cátedra.

Objetivos específicos

- Definir el nombre, la estructura organizativa y pautas generales del proyecto.

- Crear un plan de trabajo para monitorear el trabajo.

- Analizar y escoger la plataforma de desarrollo web que mejor satisfaga la necesidad

con los recursos disponibles.

- Establecer el formato y la diagramación de los temas para el sitio web.

- Diseñar una interfaz sencilla y cómoda para la visualización del contenido.

- Preparar la ponencia del producto.

- Presentar el producto en las VII Jornadas de Investigación Institucional UNEG.

Objetivo General y Específicos del Proyecto Individual

Objetivo General:

-Brindar una herramienta que ayude a tener un mayor conocimiento sobre la Auditoria

Forense

Objetivos Específicos:

- Dar a conocer un amplio conocimiento sobre la auditoria forense

- Mostrar técnicas utilizadas en la auditoria forense

- Presentar un material como soporte de conocimientos

DEFINICION

La Auditoria forense es el uso de técnicas de investigación criminalística, integradas

con la contabilidad, conocimientos jurídico-procesales, y con habilidades en finanzas y

de negocio, para manifestar información y opiniones, como pruebas en los tribunales. El

análisis resultante además de poder usarse en los tribunales, puede servir para resolver

las disputas de diversas índoles, sin llegar a sede jurisdiccional.

Comúnmente el término forense se relaciona sólo con la medicina legal y con

quienes la practican, frecuentemente identifican este vocablo con necropsia (necro que

significa muerto o muerte), patología (ciencia médica que estudia las causas, síntomas y

evolución de las enfermedades) y autopsia (examen y disección de un cadáver, para

determinar las causas de su muerte).

El término forense corresponde al latín forensis, que significa público, y

complementando su significado podemos remitirnos a su origen forum del latín que

significa foro, plaza pública o de mercado de las antiguas ciudades romanas donde se

trataban las asambleas públicas y los juicios; lo forense se vincula con lo relativo al

derecho y la aplicación de la ley, en la medida que se busca que un profesional idóneo

asista al juez en asuntos legales que le competan y para ello aporte pruebas de carácter

público para representar en un juzgado o Corte Superior.

Según el diccionario Larousse, forense es “el que ejerce su función por

delegación judicial o legal”. Por ello se puede definir la Auditoria forense como

“aquélla que provee de un análisis contable que es conveniente para la Corte, el cual

formará parte de las bases de la discusión, el debate y finalmente el dictamen de la

sentencia”.

En términos de investigación contable y de procedimientos de auditoria, la

relación con lo forense se hace estrecha cuando hablamos de la contaduría forense,

encaminada a aportar pruebas y evidencias de tipo penal, por lo tanto se define

inicialmente a la auditoria forense como una auditoria especializada en descubrir,

divulgar y atestar sobre fraudes y delitos en el desarrollo de las funciones públicas y

privadas; algunos tipos de fraude en la administración pública son: conflictos de

intereses, nepotismo, gratificaciones, estados falsificados, omisiones, favoritismo,

reclamaciones fraudulentas, falsificaciones, comisiones clandestinas, malversación de

fondos, conspiración, prevaricato, peculado, cohecho, soborno, sustitución, desfalco,

personificación, extorsión, lavado de dinero.

BREVE HISTORIA

“A través de la historia se han realizado distintos tipos de auditoria, tanto al

comercio como a las finanzas de los gobiernos. El significado del auditor fue “persona

que oye”, y fue apropiado en la época durante la cual los registros de contabilidad

gubernamental eran aprobados solamente después de la lectura pública en la cual las

cuentas eran leídas en voz alta. Desde tiempos medievales, y durante la revolución

Industrial, se realizaban auditorias para determinar si las personas en posiciones de

responsabilidad oficial en el gobierno y en el comercio estaban actuando y presentado

información de forma honesta”.

Durante la Revolución Industrial a medida que el tamaño de las empresas

aumentaba sus propietarios empezaron a utilizar servicios de gerentes contratados. Con

la separación de propiedad y gerencia, los ausentes propietarios acudieron a los

auditores para detectar errores operativos y posibles fraudes. Los bancos fueron los

principales usuarios externos de los informes financieros. Antes del 1900 la auditoría

tenía como objetivo principal detectar errores y fraudes, con frecuencia incluían el

estudio de todas o casi todas las transacciones registradas.

A mediados del siglo XX, el enfoque del trabajo de auditoría tendió a alejarse de

la detección de fraude y se dirigió hacia la determinación de si los estados financieros

presentaban razonablemente la posición financiera y los resultados de las operaciones.

A medida que las entidades corporativas se expandían los auditores comenzaron a

trabajar sobre la base de muestras de transacciones seleccionadas y en adición tomaron

conciencia de la efectividad del control interno.

La profesión reconoció que las auditorías para descubrir fraudes serían muy

costosas, por estos el control interno fue reconocido como mejor técnica. A partir de la

década de los 60s en Estados Unidos la detección de fraudes asumió un papel más

importante en el proceso de auditoría.

Este desplazamiento en la detección de fraude fue el resultado de: un incremento

del Congreso para asumir una mayor responsabilidad por los fraudes en gran escala, una

diversidad de procesos judiciales exitosos que reclamaban que los informes financieros

fraudulentos habían quedado inapropiadamente sin detección por parte de los auditores

independientes y la convicción por parte de los contadores públicos de que debería

esperarse de las auditorías la detección de fraude material.

En 1996 la Junta de Normas de Auditoría, emitió una guía para los auditores

requiriendo una evaluación explícita del riesgo de errores en los estados financieros en

todas las auditorías, debido al fraude. El uso de sistemas de computación no ha alterado

la responsabilidad del auditor en la detección de errores y fraude. El Congreso y los

reguladores estaban convencidos de que la clave para evitar problemas era la

reglamentación de leyes efectivas y las exigencias por parte de los auditores, en el

cumplimientos de las provisiones de esas leyes y regulaciones.

Como consecuencia de diversos actos fraudulentos las principales

organizaciones de contabilidad patrocinaron la Comisión Nacional sobre Presentación

de informes Financiero Fraudulentos, muchas de las recomendaciones a los auditores

fueron reglamentadas por la Junta de Normas y Auditoría, una de la más importante

fueron sobre la efectividad del control interno y la demanda de la atestación de los

auditores

En estos tiempos de cambios en el mundo, la sociedad y la empresa, se debe

fomentar y enriquecer también en el Perú la implementación y desarrollo de la

Auditoria Forense como una metodología efectiva profundizando la lucha contra la

corrupción. La auditoría a evolucionado para adaptarse a estos nuevos procesos y

enfrentar las grandes transformaciones en los diferentes ambientes, como son las

iniciativas de fusiones, cambios tecnológicos, lanzamientos de nuevos productos,

definición de nuevos servicios, entre otros. Dentro de esta evolución la auditoría se ha

especializado para ofrecer nuevos modelos de auditorías, entre estos encontramos la

Forense que surge como un nuevo apoyo técnico a la auditoría gubernamental, debido al

incremento de la corrupción en este sector. Esta auditoría puede ser utilizada tanto, el

sector público como en el privado.

Los distintos tipos de auditorías son importantes porque proveen confiabilidad

en la información financiera lo que permite a las entidades la asignación de forma

eficiente de los recursos, la contribución del auditor es proporcionar credibilidad a la

información, para los Accionistas, Acreedores, Clientes, Reguladores Gubernamentales,

entre otros.

Con frecuencia se considera que las auditorías se clasifican en tres grandes

categorías: Auditoría de Estado Financieros, Auditorías de Cumplimiento y Auditorías

Operacionales. A continuación se mencionan a las auditorías utilizadas en la actualidad:

• Auditorías Gubernamental

• Auditorías de Estados Financieros

• Auditorías de Cumplimiento

• Auditorías de Gestión y Operacionales

• Auditorías Internas

• Auditorías Especiales

• Auditorías de Control Interno

TIPOS

Los tipos de auditoria forense dependen del tipo de investigación que puede

realizar un auditor forense estos son:

Investigaciones de crimen corporativo;

Estas investigaciones se relacionan con fraude contable y corporativo ante la

presentación de información financiera inexacta por manipulación intencional,

falsificación, lavado de activos, etc.

Investigaciones por disputas comerciales

En este campo, el auditor forense se puede desempeñar como investigador, para

recaudar evidencia destinada a probar o aclarar algunos hechos tales como:

Rompimientos de contratos, disputas por compra y venta de compañías,

reclamos por determinación de utilidades, reclamos por rompimientos de

garantías, disputas por contratos de construcción, disputas por propiedad

intelectual y disputas por costos de proyectos.

Reclamaciones de seguros por devoluciones de productos defectuosos,

por destrucción de propiedades, por organizaciones y procesos complejos

y verificación de supuestos reclamos.

Acusaciones por negligencia profesional, que incluye la cuantificación

de pérdidas ocasionadas y la asesoría a demandantes y acusados

proporcionando evidencia desde expertos en normas de auditoría y de

contabilidad.

Trabajos de valoración de marcas, propiedad intelectual, acciones

DISEÑO

Iniciar un servicio de auditoria forense con fines de detectar y determinar los hallazgos

de irregularidades, fraude y corrupción en la administración de organizaciones, es

establecer una metodología que conste de elementos definidos, consistentes e integrales.

Como aporte para el desarrollo de nuevas y más eficientes metodologías de

investigación de fraudes o realización de auditorias forenses consideramos adecuado el

siguiente esquema.

Esta metodología está constituida por las actividades siguientes:

1. Definición y reconocimiento del problema.

2. Recopilación de evidencias de fraude.

3. Evaluación de la evidencia recolectada.

4. Elaboración del informe final con los hallazgos.

5. Evaluación del riesgo forense.

6. Detección de fraude.

7. Evaluación del Sistema de Control Interno.

El objetivo es el de señalar al auditor una serie de procedimientos que le

brindarán la posibilidad de contar con herramientas técnicas a fin de cumplir con éxito

su cometido, por ello no se profundiza en ellas.

La estructura de trabajo sigue los lineamientos de las Normas de Auditoria

Generalmente Aceptadas (NAGAS) y las Declaraciones sobre normas de auditoria

(SAS), en cuanto a las etapas del proceso de auditoría (Planeación, Ejecución e

Informe), sin olvidar, por supuesto, que al detectarse un fraude o una irregularidad, el

proceso puede verse afectado en cuanto al enfoque, objetivos, alcance de las pruebas,

composición del equipo de auditoría y cronograma de trabajo.

Para un mejor entendimiento de la metodología, se parte del hecho de realizar

una auditoría integral y no de la aplicación de un sistema de control en particular,

aunque se hace énfasis en la evaluación del sistema de control interno, en el control

financiero y en el control fiscal a la contratación estatal.

En lo concerniente al establecimiento de áreas de riesgo, se utiliza la evaluación

del sistema de control interno, según el COSO (Committee of Sponsoring

Organizations of tiie Treadway Commission). Sin embargo, se toman algunas

consideraciones que la Entidad Federal de Fiscalización (EFK) utiliza para la

planeación de las fiscalizaciones. De igual manera, el término de "banderas rojas",

utilizado por la Oficina del Auditor General de Canadá, hace referencia a los síntomas o

indicadores de fraudes que se asocian con otros casos.

En lo concerniente al Control Financiero, se utiliza la práctica por ciclos

transaccionales y el Control de Legalidad.

El término "hallazgo" es entendido como las deficiencias o debilidades

presentadas a través del informe de auditoría y que hacen parte de los comentarios que

el auditor redacta sobre los aspectos saltantes encontrados durante el proceso.

NORMATIVAS

En la actualidad no existe un cuerpo definido de principios y normas de auditoría

forense, sin embargo, dado que este tipo de auditoría en términos contables es mucho

más amplio que la auditoría financiera, por extensión debe apoyarse en principios y

normas de auditoría generalmente aceptadas y de manera especial en normas referidas al

control, prevención, detección y divulgación de fraudes, tales como las normas de

auditoría SAS N° 82 y N° 99 y la Ley Sarbanes-Oxley.

5.1) SAS N° 82 «Consideraciones sobre el Fraude en una Auditoría de Estados

Financieros»:

Esta norma entró en vigencia a partir de 1997 y clarificó la responsabilidad del auditor

por detectar y reportar explícitamente el fraude y efectuar una valoración del mismo. Al

evaluar el fraude administrativo se debe considerar 25 factores de riesgo que se agrupan

en tres categorías:

1. Características de la administración e influencia sobre el ambiente de control

(seis factores);

2. Condiciones de la industria (cuatro factores); y

3. Características de operación y de estabilidad financiera (quince factores).

De manera especial se debe resaltar que el SAS N° 82 señala que el fraude

frecuentemente implica: (a) una presión o incentivo para cometerlo; y (b) una

oportunidad percibida de hacerlo. Generalmente, están presentes estas dos condiciones.

5.2) SAS N° 99 «Consideración del fraude en una intervención del estado financiero».

Esta declaración reemplaza al SAS N° 82 «Consideraciones sobre el Fraude en una

Auditoría de Estados Financieros » y enmienda a los SAS N°1 «Codificación de normas

y procedimientos de auditoría» y N° 85 «Representaciones de la Gerencia» y entró en

vigencia en el año 2002. Aunque esta declaración tiene el mismo nombre que su

precursora, es de más envergadura que el SAS N° 82 pues provee a los auditores una

dirección ampliada para detectar el fraude material y da lugar a un cambio substancial

en el trabajo del auditor.

Este SAS acentúa la importancia de ejercitar el escepticismo profesional durante el

trabajo de auditoría. Asimismo, requiere que un equipo de auditoría:

1. Discuta en conjunto cómo y dónde los estados financieros de la organización

pueden ser susceptibles a una declaración errónea material debido al fraude.

2. Recopile la información necesaria para identificar los riesgos de una declaración

errónea material debido al fraude.

3. Utilice la información recopilada para identificar los riesgos que pueden dar

lugar a una declaración errónea material debido al fraude.

4. Evalúe los programas y los controles de la organización que tratan los riesgos

identificados.

5. Responder a los resultados del gravamen.

Finalmente, este SAS describe los requisitos relacionados con la documentación del

trabajo realizado y proporciona la dirección con respecto a las comunicaciones del

auditor sobre el fraude a la gerencia, al comité de auditoría y a terceros.

5-3) Ley Sarbanes-Oxley

En el mes de julio de 2002, el presidente de los Estados Unidos promulgó la Ley

Sarbanes-Oxley. Esta ley incluye cambios de amplio alcance en las reglamentaciones

federales sobre valores que podrían representar la reforma más significativa desde la

sanción de la Securities Exchange Act de 1934. La Ley dispone la creación del Public

Compnay Accounting Oversigth Borrad (PCAOB) para supervisar las auditorías de

empresas que cotizan y que están sujetas a las leyes sobre valores de la Securities and

Exchange Comisión (SEC).

Asimismo, se establece un nuevo conjunto de normas de independencia del auditor,

nuevos requisitos de exposición aplicables a las empresas que cotizan y a sus miembros,

y severas sanciones civiles y penales para los responsables de violaciones en materia de

contabilidad o de informes. También se imponen nuevas restricciones a los préstamos y

transacciones con acciones que involucran a miembros de la empresa.

Para las empresas que cotizan valores de los Estados Unidos de Norteamérica, los

efectos más destacados de la Ley se refieren a la conducción societaria; la ley obligará a

muchas empresas a adoptar cambios significativos en sus controles internos y en los

roles desempeñados por su comité de auditoría y la gerencia superior en el proceso de

preparación y presentación de informes financieros.

En este sentido, la ley otorga mayores facultades a los Comités de Auditoría que deben

estar conformados en su totalidad por directores independientes, donde al menos uno de

los cuales debe ser un experto financiero. Este Comité es responsable de supervisar

todos los trabajos de los auditores externos, incluyendo la pre-aprobación de servicios

no relacionados con la auditoría y a la cual los auditores deben reportar todas las

políticas contables críticas, tratamientos contables alternativos que se hubieran discutido

para una transacción específica, así como toda comunicación escrita significativa que se

haya tenido con la Gerencia.

La ley también impone nuevas responsabilidades a los Directores Ejecutivos y

Financieros y los expone a una responsabilidad potencial mucho mayor por la

información presentada en los estados financieros de sus empresas ya que, entre otros,

éstos requieren mantener y evaluar la efectividad de los procedimientos y controles para

la exposición de información financiera, debiendo emitir regularmente un certificado al

respecto. La ley también impone severas penas por preparar información financiera

significativamente distorsionada o por influir o proporcionar información falsa a los

auditores.

AUDITORIA FORENSE INFORMATICA

Métodos Usados para abusar de las nuevas tecnologías y como prevenirlos y

detectarlos.

Seguridad de la información:

Es el conjunto de medidas preventivas y reactivas del hombre, de las organizaciones y

de los sistemas tecnológicos que permitan resguardar y proteger

la información buscando mantener la confidencialidad, la disponibilidad e Integridad de

la misma.

Ataque:

Intento de destruir, exponer, alterar, inutilizar, robar o acceso o uso no autorizado de un

activo, entendiéndose por activo todo aquello que representa un valor para la empresa.

Tipos de ataque.

Acceso

Modificación

Denegación de servicio

Refutación

Ataque de acceso

Es un intento de obtener información que un atacante no esta autorizado a ver. El ataque

puede ocurrir:

En la fuente de almacenamiento

Durante la transmición de la información.

Clasificación

Fisgoneo: Consiste en hurgar entre los archivos de información con la esperanza

de encontrar algo interesante.

Escuchar furtivamente: Consiste en escuchar una conversación en la que no

formas partes. Para obtener acceso no autorizado a la información, el atacante

debe colocarseen un sitio que probablemnte circule toda la información o al

menos la que le interesa.

Intercepción: Parecido a la escucha furtiva a diferencia que el atacante se coloca

el mismo en la ruta de la información y la captura antes de que esta llegue a su

destino.

Ataque de modificación.

Es un intento de modificar la información que un atacante no esta autorizado a

modificar. El ataque puede ocurrir:

En la fuente de almacenamiento

Durante la transmisión de la información.

Clasificación

Cambios: Es el cambio de la información existente.

Inserción: Agrega información que no existía con anterioridad.

Eliminación: Es la remoción de información existente.

Ataque de Denegación de Servicio

Son ataques que niegan el uso de los recursos a los usuarios legítimos del sistemas,

información o capacidad.

Clasificación.

Denegación de acceso a la información: Ataque DoS en contra de la información

provocando que no este disponible.

Denegación de acceso a la aplicación: ataque DoS dirigido a la aplicación que

manipula o exhibe la información.

Denegación de acceso a sistemas: dirigido a derribar sistemas de computo.

Denegación de acceso de comunicaciones: Ataque dirigidos alas redes y medios.

Consiste en congestionar las redes o dañar los medios de transmisión.

Amenazas

Posible causa de un incidente no deseado, que puede resultar en daños a un sistema u

organización.

Componentes

Objetivos. Aspecto de la seguridad que puede ser atacado.

Agentes: Las personas u organizaciones que originan la amenaza.

Eventos: El tipo de acción que representa la amenaza.

Vulnerabilidad

La debilidad de un activo de control que puede ser explotada por una amenaza. ISO

27000:2009.

Posibilidad de ocurrencia de la materialización de una amenza sobre un activo.

Las siguientes son algunas de las amenazas comunes en internet (más allá de los

gusanos, los virus y los troyanos que pueden ser eliminados con un antivirus), es

importante reconocerlas porque mientras no estén debidamente regulados los delitos

informáticos, es el sentido común del usuario lo que puede guiarlo para evitar un ataque

virtual.

Phishing

Phishing es un término informático que denomina un tipo de delito encuadrado dentro

del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo

deingeniería social caracterizado por intentar adquirir información confidencial de

forma fraudulenta (como puede ser una contraseña o información detallada

sobre tarjetas de crédito u otra información bancaria). El estafador, conocido

como phisher, se hace pasar por una persona o empresa de confianza en una aparente

comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema

de mensajería instantánea1 o incluso utilizando también llamadas telefónicas.

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se

requieren métodos adicionales de protección. Se han realizado intentos con leyes que

castigan la práctica y campañas para prevenir a los usuarios con la aplicación de

medidas técnicas a los programas.

Pharming

Pharming es la explotación de una vulnerabilidad en el software de los

servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios,

que permite a un atacante redirigir un nombre de dominio (domain name) a otra

máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de

dominio que haya sido redirigido, accederá en su explorador de internet a la página web

que el atacante haya especificado para ese nombre de dominio.

En el pharming no es implícito que se requiera de hacer algún tipo de respuesta a un

correo electrónico, o se valga de algún programa troyano, ni en su defecto de un

programa de captura de tecleo (en comparación del phishing); sino que se valen del

servidor que el atacante controle.

En cualquiera de los casos se recomienda:

1) No responder a solicitudes de información personal a través del correo electrónico,

salvo que se conozca (y no virtualmente) a la persona solicitante. En caso de existir

dudas, póngase en contacto con la entidad (casa comercial o banco) que supuestamente

le está enviando el mensaje.

2) Actualmente los programas de seguridad, como los antivirus, contienen programas

que permiten verificar la autenticidad del sitio web que se visita. El ícono del candado

cerrado de sitio seguro funciona muchas veces como una herramienta práctica que

permite identificar el certificado de seguridad del sitio que se está visitando.

3) Consulte de manera frecuente sus saldos bancarios y de sus tarjetas de crédito.

4) Guarde en un lugar seguro toda la prueba física y electrónica de sus transacciones

realizadas.

5) Si no puede verificar al autenticidad del sitio web que visita, evite hacer cualquier

clase de transacción o envío de información personal

SPAM

“SPAM” es la denominación que se le da a aquellos correos que no son solicitados y los

cuales son enviados de forma masiva a la bandeja de entrada de los usuarios de la red,

sin el consentimiento del receptor.

El spam usualmente viene disfrazado con una línea de asunto que el usuario lee como

un mensaje personal, un mensaje de negocio (como podría ser la renovación de una

cuenta), o bien, una falta de entrega de algún mensaje.[6]

Desafortunadamente, el spam no se limita solamente a correos electrónicos, puede

afectar cualquier sistema que permita al usuario hacer uso de comunicaciones.

El Protocolo de Inicio de Sesiones (SIP por sus siglas en inglés Session Initiation

Protocol), es utilizado para las comunicaciones multimedia entre los usuarios, incluidas

las de voz, video, mensajería instantánea y de presencia, en consecuencia, cualquiera de

estas comunicaciones puede ser tan vulnerable al spam como lo es el correo electrónico.

El spam puede presentarse de tres diferentes maneras:

1.- La llamada spam (call spam). Este tipo de spam se define como intentos de

iniciación de sesión en masa no solicitados (es decir invitar solicitudes), tratando de

establecer comunicación por medio de voz, video, mensajería instantánea o cualquier

otro tipo de sesiones de comunicación. Si el usuario debe contestar, el spammer procede

a transmitir su mensaje mediante el tiempo real de medios de comunicación. Este spam

es clásico de telemercadeo, es llamado spam mediante telefonía IP (protocolo de

internet por sus siglas en inglés Internet Protocol IP) o “spit”.

2.- Spam de mensajería instantánea (IM spam). Este tipo de spam es muy similar al del

correo electrónico, está definido por mensajes instantáneos no solicitados enviados en

abundancia, cuyo contenido es el mensaje que el spammer desea transmitir; este spam,

es enviado mediante una solicitud de mensaje SIP; sin embargo, cualquier otra solicitud

que genere contenido al aparecer en automático en la pantalla del usuario, será

suficiente. Puede incluir también invitaciones con temas de cabecera largos o

invitaciones que contengan texto HTML. Este tipo de spam es llamado spam sobre

mensajería instantánea o “spim”.

3.- Spam de presencia (presence spam). Este tipo de spam es similar al IM spam, puesto

que se define por un conjunto de solicitudes de presencia (es decir, peticiones de

suscripción) enviadas en masa, sin diferir de los tipos anteriores, no son requeridas

éstas, esto para la presencia de paquetes, con el fin de esta en el cuerpo de la lista o

“lista blanca” de un usuario con el propósito de enviar mensajes instantáneos o iniciar

alguna otra forma de comunicación. [7]

Actualmente los proveedores del servicio de correo electrónico han establecido

programas o filtros para combatir el spam, auxiliándose en muchas ocasiones de las

denuncias de los mismos usuarios.

Botnet

Botnet es un término que hace referencia a un conjunto de robots informáticos o bots,

que se ejecutan de manera autónoma y automática. El artífice de la botnet (llamado

pastor) puede controlar todos los ordenadores/servidores infectados de forma remota y

normalmente lo hace a través del IRC (Internet Relay Chat, es un protocolo de

comunicación en tiempo real basado en texto). Las nuevas versiones de estas botnets se

están enfocando hacia entornos de control mediante HTTP, con lo que el control de

estas máquinas será mucho más simple.

En los sistemas Windows la forma más habitual de expansión de los "robots" suele ser

en el uso de cracks y archivos distribuidos de forma que infringe la licencia copyright.

Este tipo software suele contener malware el cual, una vez el programa se ejecuta,

puede escanear su red de área local, disco duro, puede intentar propagarse usando

vulnerabilidades conocidas de windows, etc.

Con el Botnet se realizan ataques de tipo DDoS (ataque distribuido de denegación de

servicio, ) el cual lleva a cabo generando un gran flujo de información desde varios

puntos de conexión y por ende no se reconoce con facilidad desde cual conexión

estamos siendo atacados.

Herramientas y métodos utilizados para evitar el abuso de las nuevas tecnologías

Firewall (cortafuegos)

Es una parte de un sistema o una red que está diseñada para bloquear el acceso no

autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar,

cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de

normas y otros criterios.

Los cortafuegos pueden ser implementados en hardware o software, o una combinación

de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de

Internet no autorizados tengan acceso a redes privadas conectadas a Internet,

especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a

través del cortafuegos, que examina cada mensaje y bloquea aquellos que no cumplen

los criterios de seguridad especificados.

Antivirus;

Aplicación o grupo de aplicaciones dedicadas a la prevención, búsqueda, detección y

eliminación de programas malignos en sistemas informáticos.

Antispam:

Es lo que se conoce como método para prevenir el "correo basura” o spam.Tanto los

usuarios finales como los administradores de sistemas de correo electrónico utilizan

diversas técnicas contra ello. Algunas de estas técnicas han sido incorporadas en

productos, servicios y software para aliviar la carga que cae sobre usuarios y

administradores. No existe la fórmula perfecta para solucionar el problema del spam por

lo que entre las múltiples existentes unas funcionan mejor que otras, rechazando así, en

algunos casos, el correo deseado para eliminar completamente el spam, con los costes

que conlleva de tiempo y esfuerzo.

Filtros de Contenido:

Los filtros de contenido son la herramienta más común de protección. Son programas

diseñados para controlar y gestionar el contenido que se visualiza desde un equipo. Es

decir, el filtro decidirá qué contenido es apto. El principal motivo de su existencia es

prevenir a los usuarios de ciertas informaciones que no nos son deseadas. Cuando se

impone sin el consentimiento del usuario, puede constituir censura.

Los usos comunes de estos programas incluyen padres que desean limitar los sitios que

sus hijos ven en sus computadoras domésticas, escuelas con el mismo objetivo,

empleadores para restringir qué contenidos pueden ver los empleados en el trabajo.

Auditoria en la Seguridad de la Información:

Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por

profesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática, para

identificar, enumerar y posteriormente describir las diversas vulnerabilidades que

pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de

comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables

quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo

siempre un proceso secuencial que permita a los administradores mejorar la seguridad

de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI (Sistemas de Información) permiten conocer en el

momento de su realización cuál es la situación exacta de sus activos de información en

cuanto a protección, control y medidas de seguridad.

Realización de una Auditoria en un Sistema de Información:

Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas

prácticas sugeridas. Existen estándares orientados a servir como base para auditorías de

informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la

Información), dentro de los objetivos definidos como parámetro, se encuentra el

"Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar

el estándar ISO 27002, el cual se conforma como un código internacional de buenas

prácticas de seguridad de la información, este puede constituirse como una directriz de

auditoría apoyándose de otros estándares de seguridad de la información que definen los

requisitos de auditoría y sistemas de gestión de seguridad, como lo es el estándar ISO

27001.

La publicación del estándar ISO 27002 en 2.005 incluye las siguientes secciones

principales, las cuales deben ser tomadas en cuenta al evaluar un sistema de información

o auditar el mismo:

1. Política de Seguridad de la Información.

2. Organización de la Seguridad de la Información.

3. Gestión de Activos de Información.

4. Seguridad de los Recursos Humanos.

5. Seguridad Física y Ambiental.

6. Gestión de las Comunicaciones y Operaciones.

7. Control de Accesos.

8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.

9. Gestión de Incidentes en la Seguridad de la Información.

10. Gestión de Continuidad del Negocio.

11. Cumplimiento.

Dentro de cada sección, se especifican los objetivos de los distintos controles para la

seguridad de la información. Para cada uno de los controles se indica asimismo una guía

para su implantación. El número total de controles suma 133 entre todas las secciones

aunque cada organización debe considerar previamente cuántos serán realmente los

aplicables según sus propias necesidades.

¿Qué estrategias de búsqueda de información aplicamos?

Las estrategias a usar serán:

1.-Una consulta con un auditor y/o abogado penal.

2.-Revision y estudio del Código Orgánico Procesal Penal

3.- Asesoría Contable, búsqueda de información sobre finanzas

4.- Recopilación de Información en libros virtuales

5.- Discusión breve con compañeros de equipo (intercambio de ideas e

información).

¿Cuál fue el proceso de diseño seguido?

Introducción:

1.-Reseña Histórica

Inicios

Actualidad

Futuro

2.-Tipos de Auditoria Forense

Semejanzas

Diferencias

Objetivos

Procedimientos

3.-Diseño de una Auditoria Forense

4.-Normas legales:

Definición del Código Orgánico Procesal Penal

Leyes destacadas

Responsables del cumplimiento de las mismas

5.-Presentacion de video

6.-Muestra de herramienta o programa relacionado

¿Cuáles fueron las Herramientas Utilizadas?

1. Investigación en libros electrónicos.

2. Código Orgánico Procesal Penal.

3. Ejemplos de auditorías forenses ya realizadas.

4. Estadísticas de auditorías forenses

5. Entendimiento del control interno y políticas y procedimientos en el área

afectada

¿Cuál fue el proceso de toma de decisiones para elegir la herramienta?

Se identifico y se analizo el tema de investigación, luego de leer el contenido

sobre el cual se tendría que investigar se identificaron criterios y prioridades para usar

herramientas más necesarias, se siguió el siguiente patrón:

1. Identificar y Analizar las herramientas

2. Se Define una herramienta prioritaria

3. Se Evaluaron las Opciones

4. Se tomaron las decisiones

Planificacion detallada del proyecto individual

Conclusión.

La Auditoria Forense brinda un aporte muy positivo ya que evalúa las actividades y el

desarrollo de estas, identificando que todo se lleve acabo como lo dictan las leyes

establecidas, de esta manera se estaría resguardando el patrimonio del Estado.

La lucha contra la corrupción, valor agregado para los procesos operativos,

transparencia en las operaciones, credibilidad de los funcionarios e instituciones

públicas, son unos de los aportes significativos que nos brinda la Auditoria Forense,

gracias a estos aportes hoy en día existe una mejora en la administración publica.

Actualmente así como existen muchas maneras de vernos afectos por actividades ilícitas

realizadas sin darnos cuenta, también existen distintos métodos de salvaguardar y

prevenir nuestros bienes. Todo dependerá de lo precavido que seamos al realizar

nuestras actividades ya sea de nuestra organización como el manejo de los sistemas de

información.