Bancos Offshore Suiza

   

123 Flash Menu Placeholder.
La Banca Electrónica y Delitos Informaticos

Ebanking - Tipos de E-Banking - Riesgos en E-Banking - Controles internos - Plan de Contingencia y continuidad del negocio en la Banca Electrónica.

 

Delitos Informáticos - Tipificación de los delitos informáticos - Delitos comunes en E-banking - Auditorias Eficientes

 

Delitos Informáticos

Se podría definir el delito informático como toda acción (acción u omisión) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está sancionado con una pena.

El espectacular desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La manipulación fraudulenta de los ordenadores con ánimo de lucro, la destrucción de programas o datos y el acceso y la utilización indebida de la información que puede afectar la esfera de la privacidad, son algunos de los procedimientos relacionados con el procesamiento electrónico de datos mediante los cuales es posible obtener grandes beneficios económicos o causar importantes daños materiales o morales. Pero no sólo la cuantía de los perjuicios así ocasionados es a menudo infinitamente superior a la que es usual en la delincuencia tradicional, sino que también son mucho más elevadas las posibilidades de que

no lleguen a descubrirse. Se trata de una delincuencia de especialistas capaces muchas veces de borrar toda huella de los hechos.

En este sentido, la informática puede ser el objeto del ataque o el medio para cometer otros delitos. La informática reúne unas características que la convierten en un medio idóneo para la comisión de muy distintas modalidades delictivas, en especial de carácter patrimonial (estafas, apropiaciones indebidas, etc.). La idoneidad proviene, básicamente, de la gran cantidad de datos que se acumulan, con la consiguiente facilidad de acceso a ellos y la relativamente fácil manipulación de esos datos.

La importancia reciente de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto públicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor material de los objetos destruidos. A ello se une que estos ataques son relativamente fáciles de realizar, con resultados altamente satisfactorios y al mismo tiempo procuran a los autores una probabilidad bastante alta de alcanzar los objetivos sin ser descubiertos.

 

Tipificación de los delitos informáticos
Clasificación Según la Actividad Informática
 

Sabotaje informático
 

El término sabotaje informático comprende todas aquellas conductas dirigidas a causar daños en el hardware o en el software de un sistema. Los métodos utilizados para causar destrozos en los sistemas informáticos son de índole muy variada y han ido evolucionando hacia técnicas cada vez más sofisticadas y de difícil detección. Básicamente, se puede diferenciar dos grupos de casos: por un lado, las conductas dirigidas a causar destrozos físicos (comprende todo tipo de conductas destinadas a la destrucción «física» del hardware y el software de un sistema (por ejemplo: causar incendios o explosiones, introducir piezas de aluminio dentro de la computadora para producir cortocircuitos, echar café o agentes cáusticos en los equipos, etc) y, por el otro, los métodos dirigidos a causar daños lógicos (todas aquellas conductas que producen, como resultado, la destrucción, ocultación, o alteración de datos contenidos en un sistema informático.
 

Entre los métodos de destrucción lógica, podemos distinguir:
 
Bombas lógicas (time bombs): En esta modalidad, la actividad destructiva del programa comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una fecha o a una hora determinada), o por la aparición de determinada señal (que puede o no aparecer), como la presencia de un dato, de un código, o cualquier mandato que, de acuerdo a lo determina-do por el programador, es identificado por el programa como la señal para empezar a actuar. Un ejemplo de este tipo de casos: Un empleado programó el sistema de tal forma que los ficheros de la empresa se destruirían automáticamente si su nombre era borrado de la lista de empleados de la empresa.


Otra modalidad que actúa sobre los programas de aplicación es el llamado «cáncer de rutinas» («cancer routine»). En esta técnica los programas destructivos tienen la particularidad de que se reproducen, por sí mismos, en otros programas, arbitrariamente escogidos.
Una variante perfeccionada de la anterior modalidad es el «virus informático» que es un programa capaz de multiplicarse por sí mismo y contaminar los otros
programas que se hallan en el mismo disco rígido donde fue instalado y en los datos y programas contenidos en los distintos discos con los que toma contacto a través de una conexión.
Fraude a través de computadoras
Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas.
Los distintos métodos para realizar estas conductas se deducen, fácilmente, de la forma de trabajo de un sistema informático: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realización se conoce como manipulación del input.
En segundo lugar, es posible interferir en el correcto procesamiento de la información, alterando el programa o secuencia lógica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los programas originales, como al adicionar al sistema programas especiales que introduce el autor.
 

A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin conocimientos especiales de informática, esta modalidad es más específicamente informática y requiere conocimientos técnicos especiales. Un ejemplo en Alemania, el autor, empleado de una importante empresa, ingresó al sistema informático un programa que le permitió incluir en los archivos de pagos de salarios de la compañía a «personas ficticias» e imputar los pagos correspondientes a sus sueldos a una cuenta personal del autor. Esta maniobra hubiera sido descubierta fácilmente por los mecanismos de seguridad del banco (listas de control, sumarios de cuentas, etc.) que eran revisados y evaluados periódicamente por la compañía. Por este motivo, para evitar ser descubierto, el autor produjo cambios en el programa de pago de salarios para que los «empleados ficticios» y los pagos realizados, no aparecieran en los listados de control.
Por último, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta modalidad se la conoce como manipulación del output.
Una característica general de este tipo de fraudes, es que, en la mayoría de los
casos detectados, la conducta delictiva es repetida varias veces en el tiempo. Lo que sucede es que, una vez que el autor descubre o genera una laguna o falla en el sistema, tiene la posibilidad de repetir, cuantas veces quiera, la comisión del hecho. Incluso, en los casos de «manipulación del programa», la reiteración puede ser automática, realizada por el mismo sistema sin ninguna participación del autor y cada vez que el programa se active. En el ejemplo citado al hacer referencia a las manipulaciones en el programa, el autor podría irse de vacaciones, ser despedido de la empresa o incluso morir y el sistema seguiría imputando el pago de sueldos a los empleados ficticios en su cuenta personal.
 

Una problemática especial plantea la posibilidad de realizar estas conductas a través de los sistemas de teleproceso.
Si el sistema informático está conectado a una red de comunicación entre ordenadores, a través de las líneas telefónicas o de cualquiera de los medios de comunicación remota de amplio desarrollo en los últimos años, el autor podría realizar estas conductas sin ni siquiera tener que ingresar a las oficinas donde funciona el sistema, incluso desde su propia casa y con una computadora personal. Aún más, los sistemas de comunicación internacional, permiten que una conducta de este tipo sea realizada en un país y tenga efectos en otro.
Respecto a los objetos sobre los que recae la acción del fraude informático, estos son, generalmente, los datos informáticos relativos a activos o valores. En la mayoría de los casos estos datos representan valores intangibles (ej.:
depósitos monetarios, créditos, etc.), en otros casos, los datos que son objeto del fraude, representan objetos corporales (mercadería, dinero en efectivo, etc.) que obtiene el autor mediante la manipulación del sistema. En las manipulaciones referidas a datos que representan objetos corporales, las pérdidas para la víctima son, generalmente, menores ya que están limitadas por la cantidad de objetos disponibles.
 

En cambio, en la manipulación de datos referida a bienes intangibles, el monto del perjuicio no se limita a la cantidad existente sino que, por el contrario, puede ser «creado» por el autor.
 
· Estafas electrónicas: La proliferación de las compras telemáticas permite que aumenten también los casos de estafa. Se trataría en este caso de una dinámica comisiva que cumpliría todos los requisitos del delito de estafa, ya que además del engaño y el «animus defraudandi» existiría un engaño a la persona que compra.
 

· «Pesca» u «olfateo» de claves secretas: Los delincuentes suelen engañar a los usuarios nuevos e incautos de la Internet para que revelen sus claves personales haciéndose pasar por agentes de la ley o empleados del proveedor del servicio. Los «sabuesos» utilizan programas para identificar claves de usuarios, que más tarde se pueden usar para esconder su verdadera identidad y cometer otras fechorías, desde el uso no autorizado de sistemas de computadoras hasta delitos financieros, vandalismo o actos de terrorismo.
 

· Estratagemas: Los estafadores utilizan diversas técnicas para ocultar computadoras que se «parecen» electrónicamente a otras para lograr acceso a algún sistema generalmente restringido y cometer delitos. El famoso pirata Kevin Mitnick se valió de estratagemas en 1996 para introducirse en la computadora de la casa de Tsutomo Shimamura, experto en seguridad, y distribuir en la Internet valiosos útiles secretos de seguridad.
 

· Juegos de azar: El juego electrónico de azar se ha incrementado a medida que el comercio brinda facilidades de crédito y transferencia de fondos en la Red. Los problemas ocurren en países donde ese juego es un delito o las autoridades nacionales exigen licencias. Además, no se puede garantizar un juego limpio, dadas las inconveniencias técnicas y jurisdiccionales que entraña su supervisión.
 

· Fraude: Ya se han hecho ofertas fraudulentas al consumidor tales como la cotización de acciones, bonos y valores o la venta de equipos de computa-dora en regiones donde existe el comercio electrónico.
 

· Blanqueo de dinero: Se espera que el comercio electrónico sea el nuevo lugar de transferencia electrónica de mercancías o dinero para lavar las ganancias que deja el delito, sobre todo si se pueden ocultar transacciones.
 

· Copia ilegal de software y espionaje informático: Se engloban las conductas dirigidas a obtener datos, en forma ilegítima, de un sistema de información. Es común el apoderamiento de datos de investigaciones, listas de clientes, balances, etc. En muchos casos el objeto del apoderamiento es el mismo programa de computación (software) que suele tener un importante valor económico.
 

· Infracción de los derechos de autor: Es la copia, distribución, cesión y comunicación pública de los programas de ordenador utilizando la red sin consentimiento del autor.
 

· Infracción del Copyright de bases de datos: No existe una protección uniforme de las bases de datos en los países que tienen acceso a Internet. El sistema de protección más habitual es el contractual: el propietario del sistema permite que los usuarios hagan «downloads» de los ficheros contenidos en el sistema, pero prohíbe el replicado de la base de datos o la copia masiva de información.
 

· Uso ilegítimo de sistemas informáticos ajenos. Esta modalidad consiste en la utilización sin autorización de los ordenadores y los programas de un sistema informático ajeno. Este tipo de conductas es comúnmente cometida por empleados de los sistemas de procesamiento de datos que utilizan los sistemas de las empresas para fines privados y actividades complementarias a su trabajo. En estos supuestos, sólo se produce un perjuicio económico importante para las empresas en los casos de abuso en el ámbito del teleproceso o en los casos en que las empresas deben pagar alquiler por el tiempo de uso del sistema.
 

· Acceso no autorizado: El uso ilegítimo de passwords y la entrada en un sistema informático sin la autorización del propietario debe quedar tipificado como un delito, puesto que el bien jurídico que acostumbra a protegerse con la contraseña es lo suficientemente importante para que el daño producido sea grave.

Delitos comunes en e-banking
“Phishing”

 
Por phishing hacemos referencia a una estafa que utiliza mecanismos electrónicos, como puede ser un mensaje de correo electrónico o una página Web, para convencer al usuario que revele información sensible, que va desde datos personales y privados hasta las contraseñas de acceso al banco. Los ataques phishing son posibles debido a mecanismos débiles de autenticación que en su mayoría son una simple combinación de usuario y contraseña. El método utilizado con más frecuencia en los casos de phishing masivo consiste en el envío de mensajes que simulan ser enviados por el banco o institución financiera y donde se informe que, por cualquier circunstancia, con frases como “Inmediata atención requerida” o “Por favor contáctese con nosotros inmediatamente sobre su cuenta”, es preciso revelar su contraseña de usuario o bien "verificar" sus datos llenando un formulario. A veces de hecho puede ser que se este ingresando a la Web autentica y una ventana “pop-up”, con el logotipo de la entidad con el propósito de obtener su información bancaria y información para autenticarse al sitio.
Todavía gran parte de la gente no esta preparada para identificar este tipo de ataques, ni tiene la capacidad de discernir los mensajes legítimos de aquellos que no son otra cosa que una estafa en potencia. La mayoría de las personas simplemente actúa de buena fe y se cree la petición de datos privados.

Auditorias eficientes


En la mayoría de las empresas existe la obligación de mantener en todo momento unos registros contables adecuados y el auditor tendrá que informar si no fuera así. Lo más probable es que el estudio completo de la seguridad y la planificación de emergencia de los sistemas mecanizados se incluyan entre las atribuciones de la mayoría de los departamentos de auditoria interna. Por ello cuando se realice un análisis de seguridad informática y de planificación de emergencia, el auditor:
-Examinará sistemáticamente todos los riesgos que intervengan y acotarán las pérdidas probables en cada caso.
-Considerará las maneras de aumentar la seguridad para reducir los riesgos.
-Recomendará todas las acciones necesarias de protección encaminadas a reducir el riesgo de que se produzca una interrupción, en caso de que se produzca.
-Cuando corresponda, estudiará la cobertura de seguros de la empresa.
Cuando se hable de eficiencia, los auditores tendrán que tener en cuenta las bases de referencia del grupo de auditoria, que considera lo siguiente:
-A que nivel informan los auditores.
-El apoyo que la dirección presta a los auditores.
-El respeto que tenga la unidad informática hacia el grupo de auditoria.
-La competencia técnica del equipo de auditoria.
-La eficiencia de la unidad informática, en la que se incluyen más factores de protección y seguridad.
Si, durante el curso de auditoria, los auditores tuvieran razones para pensar que las disposiciones de seguridad de la empresa y los planes de emergencia no son los adecuados, deberán reflejar sus opiniones a la Alta Dirección, a través del informe de auditoria.
Si sospechase de fraude, el auditor deberá avisar a la alta dirección para que se pongan en contacto con su asesor jurídico, o con la policía, sin levantar las sospechas del personal o los clientes que estuviesen involucrados. El auditor deberá asegurar también que los originales de los documentos que pudieran utilizarse como prueba están custodiados y a salvo y que ninguna persona que sea sospechosa de fraude tenga acceso a ellos.
 

La Banca Electrónica y Delitos Informaticos

Ebanking - Tipos de E-Banking - Riesgos en E-Banking - Controles internos - Plan de Contingencia y continuidad del negocio en la Banca Electrónica.

 

Delitos Informáticos - Tipificación de los delitos informáticos - Delitos comunes en E-banking - Auditorias Eficientes

Directorio bancos Suizos.

 A - B - C - D - E - F - G - H - I - J - K - L - M - N - O - P - Q - R - S - T - U - V - W - X - Z

Lista de Bancos Offshore por País.

Alderney Costa Rica Nevis
Andorra Cyprus Antillas Holandesas
Anguilla Dominica Suiza
Antigua Chipre del Norte Dubai Emiratos Arabes
Aruba Cabo Verde Islas Cook
Austria Gibraltar Islas Turcas y Caicos
Bahamas Granada Jersey
Barbados Guernsey Liechtenstein
Belgica Hong Kong Malasia
Belize Isla de Man Malta
Bermudas Isla Cayman Mauricio
Monaco Nieves Panama
Samoa San Marino San Vicente
Santa Lucia Seychelles Singapore
Uruguay    

 

© COPYRIGHT 2009-2012 Bancos Offshore en ALL RIGHTS RESERVED OSBA Consulting http://www.bancosoffshoresuiza.com.ar