2004 - port@l consulting group fraude informático f a u s t o f l o r e s m....

2004 - Port@l Consulting Group

Fraude Informático

F a u s t o F l o r e s M.

[email protected]

www.grupoportal.com


Definición de FRAUDEUn acto ilegal o un conjunto de actos ilícitos cometidos

por medios no físicos y mediante encubrimiento y astucia, para obtener dinero o propiedades, para evitar el pago del dinero o de las propiedades

perdidas o para obtener beneficios personales o ventajas empresariales.


Importancia

Vulnerabilidad de:LA SOCIEDAD DE LA INFORMACION

Los negocios, las administraciones y la sociedad en general dependen en alto grado de la

eficiencia y seguridad de la moderna Tecnología de la Información.


Cómo dependemos?• Transacciones monetarias • Comercio electrónico• Sistemas de control aéreo, marítimo y espacial• Sistemas automatizados de producción• Almacenamiento de datos confidenciales• Educación• Sistemas de supervisión medica


Importancia del F.I.

Las redes informáticas internacionales han llegado a constituir los nervios de la economía, el sector

publico y de la sociedad.

Por lo tanto la seguridad de estos sistemas de computación y de comunicación y su protección contra el fraude informático es de importancia

esencial.


En qué consiste el F.I.

La forma más común de fraude informático es la transferencia de fondos ilegítimos a una cuenta creada o a una cuenta habilitada a traves de una maniobra dolosa.


Requiere el F.I. alta Tecnología?La mayoría de las veces NO

Uno de los primeros y más grandes fraudes informaticos que se cometieron en USA los llevó a cabo un programador que hizo que en su saldo de cuenta corriente desapareciera el signo menos.


Quienes son los participantes del Fraude Informático ?


Sujeto ActivoAntiguamente: Un sujeto de corta edad, muy

inteligente, muy instruido, muy educado y con muchos conocimientos de informática.

Actualmente: Es alguien que está cerca nuestro. Normalmente, quien nos va a defraudar por medios informáticos, es una persona que está en la empresa y que conoce los sistemas informáticos.


Sujeto Pasivo

Bancos, compañías financieras, instituciones estatales, ejércitos, universidades, partidos políticos, colegios, empresas particulares, compañías de comunicación,

desarrolladores de software, entre otros.


Características del F.I.• Es difícil de detectar y de reconocer. • Sucede por montos no demasiados grandes, pero

continuamente en el tiempo. • Se logra que poco a poco la cifra vaya creciendo. • Se ataca a la persona que tiene una fuente de

ingresos más o menos permanente. • La gran mayoría de los fraudes informáticos nunca

se denuncia.


Ofensas Predominantes Las manipulaciones de facturas concernientes

a pagos de cuentas y salarios. Manipulación de balances de cuentas y hojas

de balances en bancos. Manipulaciones para incrementar los

inventarios. Compras en Línea (Tarj. Crédito)


Según una publicación del FBI, solamente se descubren el 15 % de los delitos informáticos,

de los cuales sólo se denuncia el 14 % y se condena el 3 %.


Modalidades de F.I.

Las mas utilizadas: Introducción de Datos Falsos (Nomina/Inventarios) Redondeo de Cuentas Bombas Lógicas Fraude con Tarjetas de Débito/Crédito Fraude con el uso de Líneas Telfónicas


Introducción de Datos Falsos

Hubo un caso en el que un programador de una empresa insertó en la nomina varios registros de empleados ficticios, a los cuales hacia que se les pague el sueldo el cual se transferia a su cuenta bancaria personal. Tuvo el cuidado de modificar los programas de reportes de forma que el faltante se equiparaba con el valor a pagar por impuestos.


Los directivos de la compañía Equity Fund dedicada a los seguros, archivaron en una computadora 56.000 pólizas de vida falsas con un valor de venta de treinta millones de dólares que representaban, al cierre de la cuenta, dos tercios del valor de venta del portafolios de la compañía.


Redondeo de Cuentas

A los valores resultados de cálculos intermedios (cálculos parciales) ya sea de pago de sueldos o pago de servicios a terceros, son redondeados o disminuidos por una rutina de programa insertada clandestinamente por el perpetrador.


Hubo un caso en el cual el jefe de informatica de una empresa con alrededor de 2.000 empleados modifico los programas de calculo de sueldos y sobresueldos de forma que del resultado parcial de cada operacion se restaban unos centavos los cuales eran transferidos a una cuenta temporal.


Esto claro lo hizo con la ayuda del contador de la empresa (que ademas resulto ser su primo). Fue posible detectarlo debido a problemas personales que enfrentaron a los primos.

Lo que muestra que en la mayoria de los casos siempre hay más de un involucrado en el fraude.


Bombas Lógicas

Son rutinas o fracciones de código insertado clandestinamente en los programas que manejan las operaciones de retiro o deposito de dinero en las cuentas de clientes de una institución financiera.


Estas rutinas, llegada determinada fecha o cumplido cierto periodo de tiempo desde la ultima vez de su ejecucion, sustraen cantidades de dinero de cuentas de determinados clientes. Generalmente de aquellas cuentas que no se han movido durante algún tiempo.


Fraude con Tarjetas de Crédito

Van desde el simple uso de tarjetas robadas y su manipulación con una computadora, hasta la fabricación independiente de copias de tarjetas.


Los ofensores a menudo obtienen el código - PIN para usar las tarjetas mediante una llamada telefónica engañosa, mediante preparar y manipular el teclado del cajero, a través de usar un teclado falso o mediante interferir las líneas de telecomunicación de datos.


Un caso Húngaro fue particularmente resaltable debido al alto monto del daño. En un mes, las

cantidades máximas respectivas de aproximadamente 250 USD fueron retiradas con la ayuda de la copia de una simple tarjeta

en 1,583 casos.


Fraude con Líneas Telefónicas

Funciona llamando a números telefónicos sin cargo (1800 en Ecuador) y manipulando la línea con la ayuda de computadoras y software o aparatos que incluso son de fabricación doméstica.


Se llama a un operador de una compañía de teléfonos de USA. Luego la conversación es finalizada con la ayuda de un tono de ruptura y la línea libre, en ese instante es tomada con la ayuda de un tono de agarre (o tono de secuestro). Después de ingresar ciertos impulsos de control, es posible marcar a cualquier número en USA.


Fraude con Código de Barras• Un CB es parte de un sistema informatico

(puntos de venta, inventarios)

• TODO sistema informatico se puede hackear/crackear.

De lo que deducimos que: "Un CB se puede hackear/crackear"


• Anotar el código de un producto similar al que nos vamos a llevar y de precio inferior.

• Imprimir en casa sobre una etiqueta adesiva el cb correspondiente.

• Pegar dicha etiqueta sobre la original y pasar por caja.


Condiciones para el F.I.• Sistemas obsoletos.• Sistemas sin seguridades de acceso.• Sistemas con seguridades de acceso inadecuadas.• Falta de controles (manuales/automatizados).• Concentración de las funciones informaticas en una

persona.• Falta de una supervisión adecuada.• Falta de políticas de administración y uso de

usuarios y passwords.


Falta de protección de los sistemas

Esto se debe a que en la relación de costos y beneficios, uno de los problemas que tiene la seguridad informática es que es cara (?), altera totalmente la ecuación.

Cuando tengo que proteger mi sistema, es carísimo y si se decide no gastar en esto, es el primer defecto.

2004 - port@l consulting group fraude informático f a u s t o f l o r e s m....

Documents