Auditoría aplicada con tecnología de la información

Elementos de auditoría
computacional.
Guía de Conceptos
Unidad II
Auditoría aplicada con tecnología de la información –
Unidad II

Contenido
EL ROL DEL AUDITOR. ......................................................................................................................... 2
CONCEPTOS BÁSICOS SOBRE LA AUDITORÍA ..................................................................................... 2
EL AUDITOR INFORMÁTICO .......................................................................................................... 3
RAZONES DE AUDITAR SERVICIOS COMPUTACIONALES .................................................................. 5
OBJETIVOS PARTICULARES DE CADA TIPO DE AUDITORÍA ................................................................... 6
OBJETIVOS DE LA AUDITORÍA EXTERNA ............................................................................................ 7
OBJETIVOS DE LA AUDITORÍA INTERNA ............................................................................................. 7
OBJETIVOS DE LA AUDITORÍA FINANCIERA......................................................................................... 7
OBJETIVOS DE LA AUDITORÍA ADMINISTRATIVA .................................................................................. 8
OBJETIVOS DE LA AUDITORÍA OPERATIVA.......................................................................................... 8
OBJETIVOS DE LA AUDITORÍA INTEGRAL............................................................................................ 9
OBJETIVOS DE LA AUDITORÍA GUBERNAMENTAL ................................................................................ 9
OBJETIVOS DE LA AUDITORÍA DE SISTEMAS ..................................................................................... 10
NORMAS GENERALES DE AUDITORÍA .............................................................................................. 10
TIPOLOGÍA DE FRAUDE. ..................................................................................................................... 11
VIRUS Y PROGRAMAS MALICIOSOS ................................................................................................. 12
TIPOS DE VIRUS ........................................................................................................................ 13
BIBLIOGRAFÍA ................................................................................................................................... 17

Guía de Conceptos – Material Básico pág. 1

Auditoría aplicada con tecnología de la información –
Unidad II

El rol del auditor.

Como lo señala (Muñoz, 2002), todas las operaciones comerciales y financieras de las
empresas requiere una constante vigilancia y evaluación; es necesario que las empresas
cuenten con la asesoría de un profesional independiente a ella, que sirva de apoyo para medir
la eficiencia y eficacia en el logro de sus objetivos. En términos generales, la evaluación es
una revisión exhaustiva, cotidiana e intelectual de los registros, actividades e informes que la
empresa genera, con la finalidad de medir y diagnosticar la situación global en el desarrollo
de sus actividades y operaciones, a esto se refiere con auditoría.

La Auditoria se ha iniciado con la revisión y el diagnóstico que se practicaban a los

documentos de las operaciones contables de las empresas; posterior a ella, se procedió al
análisis, validación y evaluación de sus aspectos financieros; consecuentemente se expandió
al examen de algunas operaciones de la administración, siguiendo con el análisis de aquellos
aspectos que intervenían en todas sus labores y, por finalmente, su alcance se expandió
conforme se fue avanzando en lo que se llama revisión integral. En la actualidad se ha llegado
a las revisiones especializadas de algunas áreas y actividades específicas que se desarrollan
en las instituciones. Entre ésta se encuentran: auditoría de sistemas computacionales,
auditoría del desarrollo de proyectos de mercadotecnia, auditoría de proyectos económicos,
y otras más derivadas de la actividad empresarial.

Conceptos básicos sobre la auditoría

El campo de aplicación de la auditoría ha avanzado drásticamente, desde su aplicación en
los aspectos contables, disciplinas de carácter especial, área de conocimiento de la
ingeniería, la medicina y los sistemas informáticos.

Se evidencia que, con el progreso, paralelamente se ha desarrollado las técnicas, métodos,

procedimientos y herramientas de cada uno de los tipos de auditorías.

Consecuente a los cambios registrados debido a su evolución, es importante mencionar en

un contexto más extenso de la auditoría, para a partir de allí analizarlo de acuerdo con lo
aportado por la Real Academia Española y después, con esa misma apreciación, es
conveniente trasladarlo a una propuesta de categorización de los tipos de auditoría.

Se puede de manera general mencionar a la auditoría como:

Revisión independiente de alguna o algunas tareas, funciones específicas, resultados

u operaciones de una entidad administrativa, realizada por un profesional entendido
en el ámbito de la auditoría, con el objetivo de supervisar su correcta realización y,
con base en esa revisión, poder dar una opinión autorizada sobre la razonabilidad de
sus resultados y el cumplimiento de sus operaciones.

Académicamente se tienen las siguientes declaraciones:

Auditor

Guía de Conceptos – Material Básico pág. 2

Auditoría aplicada con tecnología de la información –
Unidad II

(Real Academia Española, 2005) “Del latín. Auditor, oris s. m 1. Persona capacitada para
realizar auditorías en empresas u otras instituciones. Pertenece a un colegio oficial [...] 3.
Auditor de guerra. Funcionario miembro del cuerpo jurídico del ejército que informa en los
tribunales militares sobre la interpretación o aplicación de las leyes. 4. [...] auditor de la Rota.
Cada uno de los doce miembros del tribunal romano de la Rota.”

Auditoría:

“[...] Supervisión de las cuentas de una empresa, hecha por decisión de un tribunal o
a instancias de particular.”

“[...] Revisión a la economía de una empresa [...]”

“[...] Revisión de cuentas [...]”

“1. Profesión de auditor. 2. Despacho o tribunal del auditor. 3. Revisión de cuentas,

examen y evaluación de la situación financiera y administrativa de una institución o
empresa, realizados por especialistas ajenos a la misma.”

“[...] Empleo, cargo de auditor. Tribunal o despacho de auditor.”

Audit:

“[...] Revisión o intervención de cuentas [...] Verificar o revisar la contabilidad.”

“Es un examen profesional y revisión de los registros, los procedimientos y las

transacciones financieras de una organización hechas por especialistas [...]
involucrados en la preparación de esos informes. Con base en este examen, en su
informe los auditores dan una opinión independiente de la organización de su posición
financiera, si los procedimientos y los controles apropiados se han seguido, y si los
otros criterios han estado satisfechos en el desembolso de fondos. [...] Una revisión
interna, conducida por empleados de la compañía, donde se prueba la suficiencia de
los procedimientos y sistemas de contabilidad. [...] para determinar si la corporación
encuentra sus responsabilidades a empleados y sociedad.”

“Constituye adaptación popular del verbo inglés to Audit, el cual significa examinar,
revisar cuentas.”

El Auditor Informático
El Auditor Informático, (Rivera, 2015) señala que es un profesional especializado en el
análisis de sistemas de información o ingeniería en sistemas de información capacitado en
una a varias de las disciplinas de la auditoría informática, que tiene conocimientos amplios

Guía de Conceptos – Material Básico pág. 3

Auditoría aplicada con tecnología de la información –
Unidad II

de los ámbitos en los que ésta se desenvuelve, además de manejar extensos conocimientos
empresariales.

El auditor puede actuar como asesor con su auditado, proporcionándole ideas de cómo
encarar la construcción de los elementos de control y administración que le sean propios.
Adicionalmente puede se puede desempeñar como confidente de las actividades que se
desarrollan en su organización. Un entorno informático adecuadamente supervisado, puede
ser ineficiente sí no trabaja acorde con los objetivos de la organización.

El auditor informático debe ser una persona con un alto grado de competencias técnicas y
al mismo tiempo debe estar trabajando de manera coordinada con los compromisos
empresariales.

El perfil de un profesional informático deseable es el siguiente:

1) Conservar una mezcla de conocimientos de auditoría financiera e informática en

general. En el ámbito específico de la informática, debe tener conocimientos básicos
de todo tipo de conocimientos tecnológicos, de forma actualizada y especializada
respecto a las plataformas existentes en la organización, tales como:
- Desarrollo de Sistema de Información (manejo del ciclo de vida de desarrollo de
los sistemas).
- Administración del Departamento de Informática.
- Análisis de riesgos en un entorno informático.
- Sistemas operativos.
- Telecomunicaciones.
- Administración de Bases de Datos.
- Redes locales.
- Seguridad física.
- Operación y planificación informática (efectividad de las operaciones y rendimiento
del sistema).
- Administración de seguridad de los sistemas (planes de contingencia).
- Administración del cambio.
- Administración de Datos.
- Automatización de oficinas (ofimática).
- Comercio electrónico.
- Encriptación de datos.
2) Debe ser competente en materia económica que tienen distintos componentes
financieros dentro del entorno empresarial, tales como: en un entorno financiero
pueden tener mucha importancia las transmisiones de datos, por tanto, se debe tener
una especialización en esa rama.
3) Debe estar al tanto de las técnicas de administración de empresa, administración
cambiaria, pues las sugerencias y propuestas de mejora que otorgue deben estar
alineadas a los objetivos de la empresa y a los recursos que lo posee.
4) Manejo de la Calidad Total, lo que le permitirá a que sus conclusiones y trabajo sean
reconocidos como un elemento valioso dentro de la empresa.

Guía de Conceptos – Material Básico pág. 4

Auditoría aplicada con tecnología de la información –
Unidad II

Razones de auditar servicios computacionales

Los demandantes potenciales de una auditoría de la actividad informática son múltiples.

En primer lugar, la Dirección de la empresa ha entendido bien las razones evidentes que le
llevan a cuestionarse sobre la calidad de un instrumento que hoy día es la piedra angular de
muchas empresas. Esta inquietud es tanto más comprensible en cuanto que, si existen los
medios cuantitativos y cualitativos eficaces para evaluar la mayoría de los demás sectores de
la actividad (producción, comercial, compra, etc.), el director de empresa está a menudo en
inferioridad de condiciones ante una actividad técnica en la cual, generalmente, no ha sido
formado. Por lo tanto, es del todo legítimo que haga uso de las competencias necesarias para
comprobar el seguimiento de las directrices que, en principio, fueron definidas por el mismo.

El responsable informático igualmente puede recurrir a la auditoria de sus servicios. De esta

forma, podrá obtener la opinión motivada de especialistas, al contacto con varios
emplazamientos, sobre su propia organización. En un contexto de reorganización, la auditoria
será también para él una forma de ratificar algunas de sus constataciones y, por lo tanto, de
justificar, y de hacer aceptar a sus colaboradores, la nueva estructura y los nuevos
procedimientos introducidos.

Por último, lo controladores ajenos a la empresa (interventores de cuentas, administración

fiscal, comisión bancaria en los establecimientos financieros, Tribunal de Cuentas, etc.) tienen
igualmente la vocación de interesarse por la calidad del entorno informático, ya que ella es la
condición primordial de los programas y datos cifrados que están obligados a utilizar o a
controlar.

De este modo, la función informática, al igual que las demás funciones de la empresa, debe
ser auditada regularmente. Además, se puede constatar que, sí hace una década los
auditores eran, a menudo, vistos en los servicios informáticos con sorpresa y a veces con
recelo, el primer sentimiento ha desaparecido y hoy en día la auditoria informática es
aceptada al mismo nivel (o casi) que la auditoría financiera.

También ahí conviene estar vigilante y aclarar bien las razones de la auditoria. Encargada
por la Dirección general en un contexto de relación tensa con la Dirección informática, el
auditor será considerado (a veces con razón) como un “cortacabezas”. Encargada por la
Dirección de informática haciéndose cargo de sus funciones, ¿no es la auditoria el pretexto
para una crítica o para poner en tela de juicio la labor del predecesor en dicho cargo, sino que
es el medio para un estado de cosas objetivo?

En un contexto de desconfianza, la auditoria informática pierde una buena parte de su interés

técnico y se transforma tan solo en el medio de ratificar las decisiones ya tomadas hace
mucho tiempo.

Síntomas de necesidad de una Auditoría Informática

Los síntomas típicos que justifican la realización de un trabajo de auditoría informática,
pueden encontrarse en las siguientes situaciones:

- Descoordinación y desorganización en el área de Sistemas:

▪ Los estándares de productividad del departamento de Sistemas se desvían
sensiblemente de los promedios generales de la empresa.

Guía de Conceptos – Material Básico pág. 5

Auditoría aplicada con tecnología de la información –
Unidad II

▪ No coinciden los objetivos del departamento de Sistemas con los generales de la

organización.
▪ El centro de procesamiento de datos está fuera de control.

- Mala imagen del departamento de Sistemas e insatisfacción de los usuarios:

▪ No se atienden en tiempo y forma las peticiones de cambios de los usuarios.
▪ No se reparan las averías del equipamiento ni se resuelven las incidencias en
plazos razonables.
▪ No se cumplen los plazos de entrega acordados para los trabajos comprometidos.

- Debilidades políticas y económico-financieras:

▪ Necesidad de terceras opiniones para justificar las inversiones informáticas.
▪ Incremento desmesurado en los costos de los proyectos del área.
▪ Desviaciones presupuestarias significativas.

- Síntomas de inseguridad (alto nivel de riesgos):

▪ Riesgos de continuidad del servicio.
▪ Riesgos en la confidencialidad y privacidad de los datos.
▪ Escasos controles para el acceso físico y lógico a los programas y datos.

Según los puntos de vistas que aborda el autor (Muñoz, 2002) para entender el ámbito de
cualquier tipo de auditoría, consiste en establecer de que la auditoría es una disciplina
uniforme en sus cimientos, conceptos y aplicaciones, y que sólo difiere en cuanto a objetivo
que se pretende alcanzar con su realización, así como en las herramientas que se utilizarán
de acuerdo con la especialidad a evaluar.

Objetivos particulares de cada tipo de

auditoría
- Efectuar una revisión independiente de las actividades, áreas o funciones especiales
de una institución, con la finalidad de emitir un dictamen profesional sobre la
coherencia de sus operaciones y resultados.
- Realizar una revisión especializada, desde un punto de vista profesional y autónomo,
referentes a los aspectos contables, financieros y operacionales de las áreas de una
organización.
- Monitorear el cumplimiento de los planes, programas, políticas, normas y lineamientos
que permitan el desenvolvimiento de los funcionarios de una determinada institución.
- Emitir un Dictamen profesional e independiente sobre los resultados logrados
por una organización y cada una de sus dependencias, así también en el desarrollo
de sus actividades y el logro de sus objetivos y operaciones.

Quizás los objetivos que se analicen podrían resultar redundantes y otros podrían ser muy
similares; sin embargo, el propósito es presentar a cada tipo de auditoría tal y como
son, aun con el riesgo tener enunciados que parezcan repetidos. El único objetivo es que el
lector compare los objetivos generales con los objetivos específicos de cada uno de los tipos
de auditoría que se presentan.

Guía de Conceptos – Material Básico pág. 6

Auditoría aplicada con tecnología de la información –
Unidad II

Objetivos de la auditoría externa

Uno de los tipos de auditorías que se tiene es la auditoría externa y es la que se realiza con
profesionales externo a la empresa auditada, con libertad absoluta de actuación y libre de
cualquier injerencia por parte de la institución donde se practica; sus objetivos son los
siguientes:

- Realizar una evaluación, de manera independiente, a una institución con la cual no

se tenga conflicto de intereses, dicho de otro, no se tenga injerencia en la empresa
auditada bajo ninguna condición (relación de amistad, familiar, vecindad, etc.), con el
fin emitir un dictamen externo sobre la coherencia de sus actividades, operaciones y
resultados.
- Efectuar una revisión independiente sobre el aspecto contable y las finanzas de las
de una empresa, emitiendo un juicio de valor autónomo.
- Supervisar el cumplimiento de planes, programas, políticas, normas y procedimientos
que regulan las funciones de una institución, así como evaluar las actividades de sus
áreas y unidades administrativas, bajo una posición de personal ajeno a la
organización.

Objetivos de la auditoría interna

El otro tipo de auditoria es la interna, la cual se lleva a cabo con personal que trabaja en la
empresa y que tiene grado de dependencia con algún directivo de la misma. Es de suma
importancia que se definan y respeten los objetivos que se citan a continuación:

- Realizar una evaluación coherente y confiable dentro de la institución libre de

conflictos de intereses donde se trabaja, contando con un mayor entendimiento de
sus actividades y operaciones, a fin de ayudar a evaluar la actuación de la gestión
Administrativa.
- Efectuar una evaluación interna del área contable, de las finanzas y del control interno
de las áreas de una empresa, a fin de conocer su funcionamiento desde un punto de
vista interno.
- Revisar internamente el cumplimiento de los planes, programas, políticas, normas y
lineamientos que definen la actuación de cada uno de los integrantes de una
institución.
- Emitir un dictamen sobre las actividades, operaciones y funciones que se realizan en
una organización, teniendo un mayor conocimiento de las actividades del personal
que trabaja en ella, así como sus funciones y tareas.

Objetivos de la auditoría financiera

La misma está direccionada a evaluar el desempeño financiero y contable de las
organizaciones, así como sus informes financieros. A continuación se mencionan sus
objetivos:

- Llevar a cabo una revisión, de manera autónoma, de las operaciones financieras de

una institución, con la finalidad de emitir un dictamen sobre los registros, operaciones
y resultados financieros.

Guía de Conceptos – Material Básico pág. 7

Auditoría aplicada con tecnología de la información –
Unidad II

- Revisar las actividades financieras y las operaciones, como así también registros
contables de las áreas de una empresa.
- Monitorear el cumplimiento de los planes, programas, políticas, lineamientos y normas
que regulan las actividades financieras de una institución, así como de sus áreas
presupuestales y unidades administrativas.
- Controlar el ejercicio y cumplimiento de los planes, presupuestos y programas de
inversión de una empresa, así como sus bienes e inventarios.
- Corroborar los estados financieros que se tienen ante las autoridades fiscales y
terceros, con la finalidad de evaluar su correcta confección, pagos de impuestos y
utilidades de una empresa, así como emitir una opinión sobre el comportamiento de
ésta.

Objetivos de la auditoría administrativa

Tiene como finalidad revisar el comportamiento administrativo de las empresas; siendo los
siguientes puntos, sus objetivos:

Realizar una evaluación, de manera autónoma, de las actividades, operaciones, estructura

organizacional y funciones de una institución, con el propósito de emitir un dictamen sobre la
razonabilidad de su gestión administrativa.

Analizar el cumplimiento de los planes, programas, políticas, normas y lineamientos que

reglamentan la gestión directiva de las áreas y unidades administrativas de una institución.

Supervisar la actividad administrativa de los directivos y demás empleados de una empresa,

así como así también dictaminar sobre el cumplimiento de sus funciones y actividades.

Evaluar todo lo relacionado con la gestión administrativa de una empresa.

Objetivos de la auditoría operativa

Es semejante a la anterior, pero se enfoca exclusivamente a las operaciones de una empresa.
Tiene como objetivos los siguientes puntos:

- Realizar una evaluación, de manera autónoma, de las tareas, operaciones, estructura

organizacional y funciones, a fin de emitir un dictamen sobre la razonabilidad de sus
operaciones fundamentales.
- Monitorear el cumplimiento de los planes, programas, políticas, normas y lineamientos
que reglamentan la realización de las tareas de una institución, así como sus áreas y
unidades.
- Supervisar la actividad operativa de los directivos y demás empleados de una
empresa.
- Monitorear los cambios y mejoras en los sistemas de operacionales, así como sus
métodos, procedimientos rutinarios y las técnicas específicas que regulan las
operaciones y las actividades de los funcionarios y demás empleados de la
organización.
- Optimizar el uso de los recursos de una empresa en el desarrollo de sus operaciones
y actividades.

Guía de Conceptos – Material Básico pág. 8

Auditoría aplicada con tecnología de la información –
Unidad II

- Monitorear el volumen, frecuencia y periodicidad de las operaciones y actividades de

las diferentes unidades administrativas de una empresa, en función a los objetivos
institucionales.

Objetivos de la auditoría integral

Representan grupos multidisciplinarios que serán idóneos para hacer una evaluación total
de todas las áreas de la organización, con mayor profundidad y más completa, sus objetivos
son los siguientes:

- Efectuar una evaluación global, multidisciplinaria e independiente sobre las

actividades, operaciones, estructura organizacional y funciones de todas y cada una
de las áreas y unidades de trabajo de una organización, con la finalidad de emitir un
informe global sobre aplicabilidad de sus funciones y operaciones.
- Determinar el cumplimiento de los planes, programas, políticas, normas y
procedimientos que regulan las áreas y unidades de trabajo de una organización, así
como la correlación e integración de sus funciones y actividades.
- Emitir un dictamen, en forma integral y multidisciplinaria, sobre los resultados y su
interrelación de las tareas de cada una de las áreas y unidades administrativas de una
empresa.
- Agilizar los sistemas de operación, los métodos y procedimientos de trabajo, las
técnicas específicas y los controles que regulan las operaciones y actividades de
todas las áreas de una organización, por intermedio de una evaluación global y
multidisciplinaria.
- Definir los recursos de las múltiples disciplinas de la auditoría, para realizar
evaluaciones integradas de las operaciones y actividades de todas las unidades de
trabajo de una empresa.

Objetivos de la auditoría gubernamental

Es la responsable de evaluar las actividades gubernamentales, públicas y de gobierno, siendo
sus objetivos los siguientes puntos:

- Efectuar una evaluación, de manera independiente, sobre las actividades,

operaciones, estructura de organización y funciones de la misma, a fin de emitir un
veredicto sobre la razonabilidad de su gestión administrativa y la utilización de los
recursos públicos.
- Supervisar el adecuado cumplimiento de los planes globales de desarrollo, de los
presupuestos y programas de inversión, así como el uso correcto de los recursos
públicos por parte de cada entidad de la administración pública.
- Supervisar la actualización y correcta aplicación de las leyes, normas, políticas y
procedimientos que reglamentan las actividades de una institución gubernamental, así
como sus relaciones con otras dependencias y ciudadanos.
- Emitir un dictamen sobre los resultados de la gestión administrativa de directivos,
empleados y trabajadores de las organizaciones y dependencias administrativas.

Guía de Conceptos – Material Básico pág. 9

Auditoría aplicada con tecnología de la información –
Unidad II

Objetivos de la auditoría de sistemas

La revisión a los sistemas computacionales, a la administración del centro de cómputo, al
desarrollo de proyectos computacionales, a la seguridad de los sistemas computacionales y
a todo lo relacionado con ellos, será considerada bajo los siguientes objetivos:

- Llevar a cabo una evaluación con personal multidisciplinario y capacitado en el área

de las ciencias computacionales, a fin de emitir un dictamen autónomo sobre la
razonabilidad de las operaciones del sistema y la gestión administrativa del área de
informática.
- Efectuar una evaluación sobre el uso de los recursos financieros en las áreas del
centro de información, así como del aprovechamiento del sistema computacional y
sus equipos periféricos e instalaciones.
- Revisar el uso y aprovechamiento de los equipos de cómputo, sus periféricos, las
instalaciones y mobiliario del centro de cómputo, así también el uso de sus recursos
técnicos y materiales para el procesamiento de información.
- Monitorear el aprovechamiento de los sistemas de procesamiento, sus sistemas
operativos, los lenguajes, programas y paquetes de aplicación, así como el desarrollo
e instalación de nuevos sistemas.
- Revisar el cumplimiento de planes, programas, estándares, políticas, normas y
procedimientos que regulan las funciones y actividades de las áreas y de los sistemas
de procesamiento de información, así como del personal y de los usuarios del centro
de información.
- Realizar la evaluación de las áreas, actividades y funciones de una organización,
disponiendo del apoyo de los sistemas computacionales, de los programas especiales
para auditoría que sirve de soporte para la ejecución de auditorías haciendo uso del
computador.

El propósito de estos objetos es que el lector sepa y compare los fines básicos que se
pretenden alcanzar en cada tipo propuesto de auditoría, y que se tenga además presente los
fundamentos básicos necesarios para efectuar una revisión y con ello proponer los objetivos
que la auditoría lo requiera, de éste modo se busca hacer una mejor valoración de las áreas
a ser auditadas.

Normas generales de auditoría

La auditoría se rige, por aspectos contables y financieros, por normas y criterios aceptados,
los cuales son expresados por profesionales quienes aportan experiencia, conocimientos y
actualizaciones, con la finalidad de que los practicantes de la profesión conozcan las norma
y los cumpla en la ejecución de algún tipo de auditoría, según la profesión que practiquen.

Actualmente se tienen varias asociaciones de profesionales dedicados a la contabilidad y la

ingeniería financiera, dado este contexto, en casi todos los países del mundo se tiene alguna
nucleación o colegio de contadores, los cuales tienen entre sus principales funciones proteger
el desempeño profesional de sus asociados. Entre las regulaciones se encuentran las normas
aplicables a la auditoría financiera y contable.

Guía de Conceptos – Material Básico pág. 10

Auditoría aplicada con tecnología de la información –
Unidad II

El objetivo de remarcar estas normas es que sirvan de referencia para tomar en cuenta los
aspectos fundamentales del estudio de la auditoría como disciplina y entender cómo sería su
aplicación en las normas de auditoría de sistemas computacionales. Se debe aclarar que aún
no se sabe de asociaciones de auditores de sistemas, informática o disciplinas similares, que
permita regular su desempeño, y los únicos intentos por regularizar sus actividades se dan
esporádicamente por las nucleaciones de contadores y administradores
de empresas.

Tipología de fraude.
Desde un punto de vista conceptual, la idea de fraude informático evoca la producción de un
perjuicio patrimonial a través de la alteración o manipulación de datos o programas de
sistemas informáticos. Sin embargo, desde la perspectiva de las conductas que se cometen
en la práctica, el fraude informático es entendido en términos bastante más amplios y suele
identificarse con comportamientos muy diversos, que muchas veces corresponden a etapas
de ejecución imperfecta e incluso a actos preparatorios de un fraude propiamente dicho. En
especial el phishing y pharming, que normalmente se llevan a cabo en relación con
operaciones bancarias, caen dentro de esta categoría.

El phishing supone una obtención fraudulenta de datos de identidad personales de clientes

de bancos y de sus cuentas bancarias o tarjetas de crédito, destinada a efectuar
transacciones electrónicas en favor del agente o de terceros. La obtención de tales datos
puede lograrse a través de diversos medios, que incluyen desde la denominada “ingeniería
social”, hasta la afectación del soporte lógico de un sistema informático. En sus primeras
variantes, el phishing implicó el envío de correos spam masivos e indiscriminados,
supuestamente provenientes de fuentes fiables, en los que se les solicitaba a los receptores
la entrega de informaciones relativas a sus cuentas, a veces bajo la amenaza de que, en caso
de no ser proporcionadas, éstas serían canceladas o bloqueadas.

Luego, ante las medidas informativas y preventivas adoptadas por los propios bancos, el
phishing se extendió a otros comportamientos, como el uso de un malware que, para obtener
informaciones sensibles, ataca directamente las operaciones que realiza la víctima.
Adicionalmente, es posible que el phisher se limite a obtener fraudulentamente los datos de
identidad personales de clientes de bancos y de sus cuentas bancarias o tarjetas de crédito
y los comercialice a fin de que sean otros quienes perjudiquen el patrimonio de la víctima. O
bien, que operen intermediarios (también conocidos como “mulas”), que facilitan -consciente
o inconscientemente- sus cuentas bancarias para recibir el dinero obtenido fraudulentamente,
y luego lo traspasan al autor del fraude.

El pharming, por su parte, implica la creación y operación de una página web falsa, muy
parecida o igual a la de una entidad, fundamentalmente bancaria o de otra naturaleza, como
un sitio de subastas (por ejemplo, eBay).

En este caso, puede ocurrir que el usuario ingrese el nombre del banco en un buscador (v.
gr., Google) o la dirección web de la entidad bancaria en la barra de direcciones y sea dirigido
a una página web fraudulenta. En el primer supuesto, lo usual es que la página fraudulenta
figure al comienzo de los resultados de búsqueda –que es donde normalmente se posicionan
las páginas auténticas– y que esa misma circunstancia lleve a que la víctima elija dicha página

Guía de Conceptos – Material Básico pág. 11

Auditoría aplicada con tecnología de la información –
Unidad II

entre todos los resultados arrojados. En el segundo supuesto, en cambio, puede que
aparezca directamente la página web fraudulenta, o bien, que se abra una ventana en el
navegador del usuario con la página falsa. Al igual que el phishing, el pharming también ha
ido cambiando e incorporado nuevas modalidades, como la instalación de malware con la
sola visita de la página web fraudulenta de que se trate.

Muchas veces el phishing y el pharming se presentan unidos, por ejemplo, cuando se envía
a la víctima un correo spam, que contiene un link, y se la conduce a una página web que
emula la del banco respectivo. Además, el empleo de un malware puede provocar que el
phishing y el pharming se confundan en la práctica, v. gr., si el software malicioso se utiliza
para imitar una página web, a la que es dirigida la víctima, y desde la que se obtienen sus
datos personales y bancarios. Por lo mismo, las medidas informativas y preventivas de las
entidades bancarias suelen referirse a ambos supuestos, conjuntamente.

En cuanto a su relevancia práctica, el fraude informático, en el sentido amplio indicado supra,

es considerado el protagonista absoluto de la cibercriminalidad

En relación a lo que manifiesta (Gallego, 2012) en ésta sección se va a presentar cada uno
de los diferentes tipos de fraude que se puede encontrar en el ámbito de la informática,
clasificándolos y describiéndolos detalladamente, para poder comprender qué técnicas
utilizan y cómo accionan los estafadores sobre las actividades realizadas por los usuarios con
la finalidad de prevenir posibles peligros y ataques, a que los usuarios están expuestos.

Virus y programas maliciosos

A los virus también se los conoce como código o software malicioso, software
malintencionado o malware y son programas que se crean para transformar la conducta
rutinaria de programas, a fin de bloquear las funciones, habitualmente sin que el usuario
víctima sea consciente de ello.

Actualmente el término de virus se ha exagerado para referirse a todos los programas que
infectan un computador, aunque el término original sólo se refiere a una pequeña parte de
todo el software malicioso existente, la cual será objeto de estudio en este punto.

Los virus pueden modificar tanto los mecanismos y funcionamiento de un programa como la
información que se almacena en el mismo, pudiendo variar estas acciones maliciosas desde
el robo de información sensible, sea estos: borrado de datos, o el uso deliberado del sistema
que podría estar infectado y deja vulnerable a partir de este equipo a otro tipo de actividades
ilícitas, pudiendo presentarse consecuencias legales para la persona cuyo computador ha
sido infectado y que involuntariamente pueda estar sirviendo de servidor como para que una
tercera persona esté cometiendo delitos por intermediario de ella.

En sus inicios, los virus fueron creados con el simple propósito de ganar protagonismo por
parte de su creador.

El malware se diseñaba de tal forma que el creador pudiera obtener un reconocimiento

público por sus habilidades para modificar programas o por entorpecer su correcto
funcionamiento, pero los virus se caracterizaban por ser de fácil visibilidad para que la víctima
identifique daños causados en el equipo infectado eran visibles dado que era justo lo que

Guía de Conceptos – Material Básico pág. 12

Auditoría aplicada con tecnología de la información –
Unidad II

buscaban los infractores: es un reconocimiento público de sus acciones maliciosas por parte
del resto de usuarios.

Determinadas tareas que desarrollaban en sus inicios era: la eliminación de ficheros

importantes, borrado de datos, modificación de caracteres de escritura, entre otros.

Con el transcurrir del tiempo, la red de Internet representó un elemento central en las
relaciones tanto personales como profesionales entre las personas, y como espacio para todo
tipo de intercambios comerciales y transacciones financieras, ha propiciado la
ciberdelincuencia como una importante fuente de ingresos. La motivación de la creación de
virus ha ido cambiando desde entonces, pues la creación de los primeros virus se debía a
simple afán de protagonismo por parte de algún delincuente informático, pero la motivación
se ha traducido al robo de cantidades significativas de dinero que se comenzaban a transferir
a través de la red. Esto se evidencia en la evolución del perfil de un delincuente informático
desde sus inicios hasta la actualidad.

Desde los inicios de internet, el delincuente informático era una persona inteligente e inquieta,
que simplemente trataba de obtener un reconocimiento público por sus habilidades
informáticas, pero a la actualidad, la mayor parte de los delincuentes informáticos actúan en
grupos muy organizados que desarrollan los códigos maliciosos con la intención de que pasen
lo más ocultos posibles, pues cuanto más tarde se detecte a la víctima que ha sido objeto de
algún tipo de fraude, más tiempo van a disponer para seguir perpetrándolo.

Cualquier dispositivo cuyo sistema operativo tenga la capacidad de entender y manejar algún
tipo de malware, podrá en un momento dado, ser víctima. Actualmente los equipos
informáticos más rutinarios como los ordenadores personales, los dispositivos móviles, los
servidores, las tabletas, o los videojuegos son dispositivos que están en el punto de mira de
todo desarrollador de malware, por lo que para poder utilizarlos de manera segura es
recomendable disponer de herramientas software que lo mantengan protegido de estas
amenazas y de ser posible, informarse de que el dispositivo no este infectado incluso cada
vez que lo vaya a usar cualquier usuario, especialmente si va a realizar actividades críticas
como ser una transferencia bancaria a través del computador.

Tipos de virus
Los distintos tipos de virus que se tienen son considerando varios factores, tales como:

1) Por su capacidad de propagación.

2) Por las acciones que realizan en el equipo infectado.
3) Otras clasificaciones

Según su capacidad de propagación

Se tienen tres tipos de malware según la propagación y son: virus, gusanos y troyanos.

- Virus

El virus altera a los archivos, los mismos sólo pueden permanecer en un equipo si se
hallan dentro de algún tipo de archivo. Los archivos infectados habitualmente son ejecutables,
pero también pueden infectar otros archivos que se encuentren en el equipo infectado.

Guía de Conceptos – Material Básico pág. 13

Auditoría aplicada con tecnología de la información –
Unidad II

Los virus generalmente se ejecutan al abrirse un archivo que se encuentre infectado, o al

realizar una determinada acción o se cumpla una condición, por ejemplo, una fecha concreta.
El propósito de los virus básicamente es propagar la infección de archivos que
reúnan las mismas características, así, las formas de diseminación son infinitas si no tratan a
tiempo, y transferirse incluso a otros equipos, si el archivo infectado se halla en un dispositivo
extraíble o se difunde por medio de la red, cada vez que un nuevo usuario ejecute un archivo
dañado, se expondrá al peligro al equipo desde el momento en que se manipule el archivo.
Los virus fueron los primeros ejemplos de malware pero en la actualidad no resultan atractivos
para los infractores ya que se han ido creando nuevos tipos de malware más desarrollados,
y su uso hoy día es casi trivial. Como ejemplos de malware se tiene:

Viernes 13 o Jerusalem: Se desarrolló en Israel en 1988. Cada viernes 13 todos los

programas que intentaban ejecutarse en el ordenador se eliminaban. Se cree que
conmemoraba el cuarenta aniversario del Estado Judío en la ciudad de Jerusalén.

Barrotes: primer virus español con relevancia internacional. Se originó en 1993 y su

funcionamiento hacía que el virus permaneciera hasta el 5 de enero en el equipo infectado,
su efecto era que aparecían unas barras en el monitor simulando una cárcel.
I LUSTRACIÓN 1: C APTURA DE PANTALLA DEL MALWARE CONOCIDO COMO “B ARROTES ”

(Gallego, 2012).

En la figura se observa como la finalidad de este tipo de malware era crear confusión visual
al usuario, de este modo el atacante buscaba tener relevancia y reconocimiento público.

- Gusanos

Son programas que buscan realizar el máximo número de copias de sí mismos, con el
propósito de crear una propagación masiva. La principal diferencia de los gusanos con los
virus, es que no infectan otros archivos que residen en el computador de la víctima.

Guía de Conceptos – Material Básico pág. 14

Auditoría aplicada con tecnología de la información –
Unidad II

Los principales métodos de propagación de los gusanos son los correos electrónicos, las
transferencias internas de archivos por medio de la red, la mensajería instantánea y los
canales de chat. Habitualmente los diseñadores de este tipo de malware utilizan la ingeniería
social para engañar al usuario para usar el archivo infectado con el gusano, para ello, los
infractores intentan poner un título atractivo a los archivos que contienen un gusano. Si se
trata de transferencia de archivos a través de la red, pueden nombrar al archivo con títulos
de directorios de sistemas, carpetas de música, video, o si se trata de un correo electrónico,
con ofertas sugerentes o temas que atraigan la atención del usuario medio.

Para poder erradicar un gusano del equipo, simplemente bastará con eliminar el archivo que
sea el causante de la infección, así como todas las copias que haya generado en el tiempo
que estuviera activo, dependiendo de lo sofisticado que sea el gusano, puede resultar más
difícil su erradicación, ya que en ocasiones éstos modifican ciertos parámetros del sistema
por lo que, siempre que se ejecute el equipo, se ejecuta también el gusano con los demás
programas que por defecto se han de arrancar al encender el dispositivo infectado, de esta
forma el gusano se resguarda y se asegura una copia de sí mismo cada vez que se inicie el
Sistema Operativo.

Algunos ejemplos de gusanos informáticos famosos son:

ILoveYou (o VBS/LoveLetter): Es un gusano informático escrito en VBScript. En mayo del

2000 infectó aproximadamente 50 millones de computadores, provocando pérdidas de más
de 5.500 millones de dólares. VBS/LoveLetter llega al usuario en un e- mail que tiene por
Asunto: 'ILOVEYOU' e incluye un fichero llamado 'LOVE- LETTER-FOR-YOU. TXT.vbs'.
I LUSTRACIÓN 2: C ORREO ELECTRÓNICO ENVIADO CON EL GUSANO “I LOVE YOU ”

(Gallego, 2012).

- Troyanos

Software malicioso con apariencia de programa legítimo, pero que al ejecutarse crea una
puerta trasera que posibilita la administración remota del equipo a un usuario no autorizado.

Carecen de rutina propia de propagación, pueden llegar al sistema de diferentes formas, las
más comunes son:

- Descargado por otro programa malicioso.

Guía de Conceptos – Material Básico pág. 15

Auditoría aplicada con tecnología de la información –
Unidad II

- Descargado sin el conocimiento del usuario al visitar una página web maliciosa.
- Dentro de otro programa que simula ser inofensivo.

I LUSTRACIÓN 3: E SQUEMA SOBRE CÓMO ACTÚAN LOS TROYANOS

(Gallego, 2012).

Guía de Conceptos – Material Básico pág. 16

Auditoría aplicada con tecnología de la información –
Unidad II

Bibliografía
▪ Yann Derrien,(1994)Técnica de la Auditoría Informática https://elibro-
net.americana.idm.oclc.org/es/ereader/bibliouamericana/45891.Pág 8-9
▪ Revista Ius et Praxis, Año 24, Nº 1, 2018, pp. 159 – 206 -Elementos criminológicos
para el análisis jurídico-penal de los delitos informáticos*Recuperado de
https://scielo.conicyt.cl/pdf/iusetp/v24n1/0718-0012-iusetp-24-01-00159.pdf
▪ Fraude informático y estafa https://elibro-
net.americana.idm.oclc.org/es/ereader/bibliouamericana/52457

Guía de Conceptos – Material Básico pág. 17