TIPOS DE RIESGOS

Administración de redes

Luis Angel Cervantes Hernández 167003643

Riesgos
¿QUE SON LOS RIESGOS INFORMATICOS?
Se entiende como riesgo informático un estado de cualquier sistema que nos indica que ese
sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello
que pueda afecta su funcionamiento directo a los resultados que se obtienen del mismo.
Para que un sistema se pueda definir como seguro debe tener estas cuatro características:
■ Integridad: La información sólo puede ser modificada por quien está autorizado.
■ Confidencialidad: La información sólo debe ser legible para los autorizados.
■ Disponibilidad: Debe estar disponible cuando se necesita
■ Irrefutabilidad: (No-Rechazo o No Repudio) Que no se pueda negar la autoría.
Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en seguridad
lógica y seguridad física.
TIPOS DE RIESGOS
En efecto, las principales áreas en que habitualmente ha incursionado la seguridad en los
centros de cómputos han sido:
■ Seguridad física.
■ Control de accesos.
■ Protección de los datos.
■ Seguridad en las redes.
RIESGOS DE INTEGRIDAD:

Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de
la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización.
■ Interface del usuario: Los riesgos en esta área generalmente se relacionan con las
restricciones, sobre las individualidades de una organización y su autorización de
ejecutar funciones negocio/sistema; teniendo en cuenta sus necesidades de trabajo y una
razonable segregación de obligaciones.
■ Procesamiento: Los riesgos en esta área generalmente se relacionan con el adecuado
balance de los controles detectivos y preventivos que aseguran que el procesamiento de
la información ha sido completado.
■ Interface: Los riesgos en esta área generalmente se relacionan con controles
preventivos y detectivos que aseguran que la información ha sido procesada y
transmitida adecuadamente por las aplicaciones.
RIESGOS DE RELACION:

■ Los riesgos de relación se refieren al uso oportuno de la información creada por una
aplicación. Estos riesgos se relacionan directamente a la información de toma de
decisiones (Información y datos correctos de una persona/proceso/sistema correcto en
el tiempo preciso permiten tomar decisiones correctas.
RIESGOS DE ACCESO:

Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e información. Estos

riesgos abarcan: Los riesgos de segregación inapropiada de trabajo, los riesgos asociados
con la integridad de la información de sistemas de bases de datos y los riesgos asociados a
la confidencialidad de la información. Los riesgos de acceso pueden ocurrir en los
siguientes niveles de la estructura de la seguridad de la información.
RIESGOS DE UTILIDAD:

Estos riesgos se enfocan en tres diferentes niveles de riesgo:

■ → Los riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de que
los problemas ocurran.

■ → Técnicas de recuperación/restauración usadas para minimizar la ruptura de los

sistemas.

■ → Backups y planes de contingencia controlan desastres en el procesamiento de la

información.
RIESGOS EN LA INFRAESTRUCTURA

Estos riesgos se refieren a que en las organizaciones no existe una estructura información
tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar
adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente.
Estos riesgos están asociados con los procesos de la información tecnológica que definen,
desarrollan, mantienen y operan un entorno de procesamiento de información y las
aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.).
RIESGOS DE SEGURIDAD GENERAL:

Los estándares IEC 950 proporcionan los requisitos de diseño para lograr una seguridad
general y que disminuyen el riesgo:

■ Riesgos de choque de eléctrico: Niveles altos de voltaje.

■ Riesgos de incendio: Inflamabilidad de materiales.
■ Riesgos de niveles inadecuados de energía eléctrica.
■ Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
■ Riesgos mecánicos: Inestabilidad de las piezas eléctricas.
FRAUDES

Los sistemas de información computarizados son vulnerables a una diversidad de amenazas

y atentados por parte de:
■ Personas tanto internas como externas de la organización.
■ Desastres naturales.
■ Por servicios, suministros y trabajos no confiables e imperfectos.
■ Por la incompetencia y las deficiencias cotidianas.
■ Por el abuso en el manejo de los sistemas informáticos.
■ Por el desastre a causa de intromisión, robo, fraude, sabotaje o interrupción de las
actividades de cómputos.
Todos estos aspectos hacen que sea necesario replantear la seguridad con que cuenta hasta
ahora la organización, aunque también hay algunas entidades que están haciendo un trabajo
prominente en asegurar sus sistemas informáticos
DELITO O FRAUDE INFORMÁTICO

Toda acción culpable realizada por un ser humano que cause un perjuicio a personas sin que
necesariamente se beneficie el autor o que por el contrario produzca un beneficio ilícito a su
autor aunque no perjudique en forma directa o indirecta a la víctima.

Actitudes ilícitas en que se tiene a las computadoras como instrumento o fin. Cualquier
comportamiento criminal en que la computadora está involucrada como material objeto
como medio.
TIPOS DE DELITOS O FRAUDES

■ 1. Sabotaje Informático
En lo referente a Sabotaje Informático podemos encontrar dos clasificaciones las cuales son
las siguientes:
a. Conductas dirigidas a causar daños físicos
■ Esto es cuando la persona que comete el delito causa daños físicos al hardware del
equipo objeto del delito. Aquí el daño físico se puede ocasionar de muchas formas por
la persona que tiene la intención de causar daño.
■ Esto puede ocurrir de varias formas, por ejemplo:
■ Uso de instrumentos para golpear, romper o quebrar un equipo de cómputo, ya sea el
daño completo o parcial.
■ Uso de líquidos como café, agua o cualquier líquido que se vierta sobre el equipo y dañe
las piezas y componentes electrónicos.
TIPOS DE DELITOS O FRAUDES

■ Provocar apagones o cortos en la energía eléctrica con intención de causar daños en el

equipo.
■ Utilizar bombas explosivas o agentes químicos que dañen el equipo de cómputo.
■ Arrancar, o quitar componentes importantes de algún dispositivo del equipo, como CD-
ROM, CD-RW, Disco de 3 ½, Discos Duros, Impresoras, Bocinas, Monitores,
MODEM, Tarjetas de audio y video, etc.
b. Conductas dirigidas a causar daños lógicos
■ Esto comprende los daños causados a la información y todos los medios lógicos de los
cuales se vale un Sistema de Cómputo para funcionar adecuadamente.
■ Por ejemplo, dañar la información contenida en unidades de almacenamiento
permanente, ya sea alterando, cambiando o eliminando archivos; mover configuraciones
del equipo de manera que dañe la integridad del mismo; atentar contra la integridad de
los datos pertenecientes al dueño del equipo de cómputo y todas aquellas formas de
ocasionar daños en la parte lógica de un sistema de cómputo.
TIPOS DE DELITOS O FRAUDES

Medios Utilizados para Realizar Daños Lógicos

Virus. Es una serie de claves programáticas que pueden adherirse a los programas legítimos y
propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de
una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del
Caballo de Troya.

Gusanos. Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de
procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no
puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras
que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser
tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente
se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera
continuamente dinero a una cuenta ilícita.
TIPOS DE DELITOS O FRAUDES

2. Fraude a través de Computadoras

Cuando la computadora es el medio para realizar y maquinar fraudes por una persona, se
considera un delito.
a. Manipulación de los datos de entrada

Este tipo de fraude informático conocido también como sustracción de datos, representa el
delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito
no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona
que tenga acceso a las funciones normales de procesamiento de datos en la fase de
adquisición de los mismos.
TIPOS DE DELITOS O FRAUDES

b. Manipulación de Programas

Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe
tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los
programas existentes en el sistema de computadoras o en insertar nuevos programas o
nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos
especializados en programación informática es el denominado Caballo de Troya, que
consiste en insertar instrucciones de computadora de forma encubierta en un programa
informático para que pueda realizar una función no autorizada al mismo tiempo que su
función normal.
TIPOS DE DELITOS O FRAUDES

c. Manipulación de los datos de salida

Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más

común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación
de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente
esos fraudes se hacían a base de tarjetas bancarias robadas, sin embargo, en la actualidad se
usan ampliamente equipo y programas de computadora especializados para codificar
información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de
las tarjetas de crédito.
TIPOS DE DELITOS O FRAUDES

d. Otro ejemplo común.

Por ejemplo, cuando una persona tiene acceso a una base de datos de nóminas de una
empresa, y tiene la capacidad y autorización para manipular los sueldos de los empleados,
esta persona tiene la oportunidad de cometer un delito al tomar la fracciones pequeñas de
los centavos y manipularlas de tal manera que las manda a su cuenta y así obtener ganancias
deshonestas lo que sería un fraude.
Una posible manera de tener más control sobre este tipo de actos, sería designar a un grupo
encargado de la administración de las nóminas de los empleados de la empresa y que ese
grupo se encargue de mantener todo bajo control, revisando muy bien cada movimiento que
se realice y a donde se está enviando el dinero, porque de esta manera ya son más personas
y no es una sola que podría hacerlo sin que nadie se dé cuenta, así habría menos
probabilidades de que se cometa el incidente.
 TECNICAS UTILIZADAS PARA PERPETRAR LOS FRAUDES

1. Ingeniería Social.
Consiste en plantear situaciones para conmover o sobornar a quienes pueden proporcionar
la información deseada o facilitar la ocurrencia de ilícitos.
Ejemplo:
Suponga que el criminal busca incluir depósitos a cuentas corrientes fraudulentas. Entonces,
el defraudador llama a un empleado de control, le indica que dentro de los comprobantes de
depósito hay uno que debe ser sustituido por dos o más comprobantes similares.
Para obligarlo a colaborar con él, le ofrece el dinero que puede estar necesitando
urgentemente el empleado de control, o sutilmente lo amenaza en su integridad personal o
en la de su familia.
El fraude es descubierto después de que el criminal ha sacado la plata de su cuenta
corriente. El cliente afectado con el depósito sustituido reclama al Banco y éste tiene que
asumir la pérdida.
 TECNICAS UTILIZADAS PARA PERPETRAR LOS FRAUDES

2. Puertas Levadizas (Fuga o Escape de Datos)

El concepto de “Puerta Levadiza” es el mismo que aplicaron nuestros antepasados en las
fortalezas amuralladas. El libre acceso fue suprimido, para que cualquier cosa interna se
considerara segura y toda externa fuera sospechosa. Además quienes estaban fuera de la
muralla, no detectaban la entrada o salida de quienes estaban dentro.
El personal de PED puede construir puertas levadizas (rutinas) en los programas de
computador para permitir que los datos entren y salgan sin ser detectados.
Ejemplos:
Insertar un código especial para que a una cuenta se abonen dos veces los intereses en lugar
de una vez.
Insertar un código especial para que los cargos a una cuenta no afecten el saldo anterior de
la cuenta.
 TECNICAS UTILIZADAS PARA PERPETRAR LOS FRAUDES

3. Recolección de Basura.

Un criminal que actúa como escobita o basurero es alguien que usa la basura de las
aplicaciones de computador, dejada dentro de la instalación o en su periferia después de la
ejecución de un trabajo.

La basura o deshechos del computador contiene cosas como listados de programas, listados
con información o reportes y documentación de los sistemas.

Los códigos correctos para accesar los archivos o las terminales, pueden ser obtenidos por
los criminales usando los datos residuales que se dejan en la basura