LeyesCódigo Penal Federal

Debemos destacar que en el Derecho Positivo Mexicano, el Código Penal Federal, es la Ley federal en la Legislación Mexicana que tipifica con mayor abundamiento a los delitos informáticos y electrónicos, por lo tanto, considero ˙tal y necesario establecer el texto tal y como en dicha ley se encuentra, a fin de comprobar lo establecido en el Capítulo primero de esta investigación.

Libro Segundo

Título Noveno. Revelaciones secretos y acceso ilícito a sistemas y equipos de informática

Capítulo II: acceso ilícito a sistemas y equipos de informática

Artículo 211 bis 1: Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrá· de seis meses a dos años de prisión y de 100 a 300 días multa.

Al que sin autorización conozca o copia información contenida en sistemas fue equipos de informática protegidos por algún mecanismo la, se le impondrá· de tres meses a un año de prisión y de 50 a 150 días multa.

Artículo 211 bis 2: Al que sin autorización modifique, destruya o provoque pérdida de información contenida

en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de cuatro años de prisión y de doscientos a seiscientos días de multa.

Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.

Artículo 211bis 3: Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa.

Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días multa.

Debido a la incompleta tipificación de los delitos informáticos y electrónicos en el Código Penal Federal, el 17 de Mayo de 1999, el legislador considera algunos Artículos a fin de esclarecer un poco las sanciones aplicables para determinado tipo de conductas relacionadas con los tipos penales anteriormente descritos, quedando así de la siguiente manera:

Reformas al Código Penal Federal publicadas en el Diario Oficial de la Federación el 17 de mayo del año 1999,

Artículo 167.- Se impondrán de uno a cinco años de prisión y de cien a diez mil días multa:

II. Al que destruya o separe uno o más postes, aisladores, alambres, máquinas o aparatos, empleados en el servicio de telégrafos; cualquiera de los componentes de la red pública de telecomunicaciones, empleada en el servicio telefónico, de conmutación o de radio comunicación, o cualquier componente de una instalación de producción de energía magnética o electromagnética o sus medios de transmisión.

VI. Al que dolosamente o con fines de lucro, interrumpa o interfiera las comunicaciones, alámbricas, inalámbricas o de fibra Óptica, sean telegráficas, telefónicas o satelitales, por medio de las cuales se transfieran señales de audio, de video o de datos.

Artículo 168-bis.- Se impondrán de seis meses a dos años de prisión y de trescientos a tres mil días multa, a quien sin derecho:

Internet: su ley aplicable y competencia

Se considera conveniente la aplicación de la ley del lugar en el cual se producen los efectos ya sea esta de tipo penal o civil.

Es claro que para toda norma penal, su fin es un desarrollo teórico de normas penales que dependen de la aplicación de la política criminal de cada entidad federativa, lo ideal sería lograr el acuerdo internacional que permitiera la persecución penal de los delitos cometidos en la Red, posiblemente con la intervención de la Organización Mundial de la Propiedad Intelectual pero hasta que esta situación ocurra, sería recomendable adoptar normas similares a las descritas anteriormente para combatir las posibles violaciones de derechos intelectuales de Internet que se encuentran de moda y que no hacen otra cosa que disminuir la creatividad por falta de incentivos reales y sensación de falta de protección a los autores y creadores. Así mismo no dejo de señalar que tanto en la Ley de Instituciones de Crédito como en la Ley Federal de Derechos de Autor se han tenido que realizar reformas y adiciones, a fin de tipificar un poco sobre los delitos informáticos y electrónicos en México.

---

- Ejemplos

- Por ejemplo, en la ley Federal del Derecho de Autor publicada por decreto de 18 de diciembre de 1996, la cual entre en vigor el 18 de marzo de 1997î6, en su Capítulo IV se regula todo lo relativo a la protección de los programas de computación, a las bases de datos y a los derechos autorales relacionados con ambos, en ella se define: lo que es un programa de computación, su protección, sus derechos patrimoniales, de arrendamiento, casos en los que el usuario podrá· realizar copias del programa que autorice el autor del mismo, las facultades de autorizar o prohibir la reproducción, la autorización del acceso a la información de carácter privado relativa a las personas contenida en las de datos, la publicación, reproducción, divulgación, comunicación publica y transmisión de dicha información, establece las infracciones y sanciones que en materia de derecho de autor deben ser aplicadas cuando ocurren ilícitos relacionados con los citados programas, las bases de datos etcétera”.

- El mejor ejemplo es el ataque de denegación de Servicios (Denial of Servicies o Distributed Denial of Services), cuyo objetivo no es modificar, destruir o provocar pérdida de información como reiteradamente lo establece el Código Penal Federal, sino simplemente imposibilitar o inhabilitar un servidor temporalmente para que sus páginas o contenidos no puedan ser vistos los cibernautas mientras el servidor esta caído.

- Otro ejemplo podrían ser los virus, donde el diseñador no tiene acceso directo a ninguna computadora, ya que desencadena el daño enviando el virus por correo electrónico o de maneras similares.

SEGURIDAD PRIVADA

Según se indica en el preámbulo de la ley, la seguridad de la información y las comunicaciones aparece por primera vez configurada “no como actividad específica de seguridad privada, sino como actividad compatible que podrá ser desarrollada tanto por empresas de seguridad como por las que no lo sean, y que, por su incidencia directa en la seguridad de las entidades públicas y privadas, llevará implícito el sometimiento a ciertas obligaciones por parte de proveedores y usuarios”.

En el artículo 6.6, dedicado a las “Actividades compatibles”, se incluye una de las principales novedades: “a las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquellos prestan, por su incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten”.

La seguridad pública es un servicio que debe brindar el Estado para garantizar la integridad física de los ciudadanos y sus bienes.

De esta forma, las fuerzas de seguridad del Estado se encargan de prevenir la comisión de delitos y de

perseguir a los delincuentes, con la misión de entregarlos al Poder Judicial. Este organismo tiene la misión de aplicar los castigos que estipula la ley, que pueden ir desde una multa económica hasta la pena de muerte, según el país y la gravedad del delito.

ENCRIPTAMIENTO

Encriptar es una manera de codificar la información para protegerla frente a terceros.

Por lo tanto la encriptación informática sería la codificación la información de archivos o de un correo electrónico para que no pueda ser descifrado en caso de ser interceptado por alguien mientras esta información viaja por la red.

Es por medio de la encriptación informática como se codifican los datos. Solamente a través de un software de descodificación que conoce el autor de estos documentos encriptados es como se puede volver a decodificar la información.

Por lo que la encriptación informática es simplemente la codificación de la información que vamos a enviar a través de la red (Internet). Para poder descodificarla como dijimos es necesario un software o una clave que sólo conocen el emisor y el receptor de esta información.

Ejemplos de tipos de encriptamiento:Algunos de los usos más comunes de la encriptación son

el almacenamiento y transmisión deinformación sensible como contraseñas, números de identificación legal, números de tarjetas de crédito, reportes administrativo-contables y conversaciones privadas, entre otros.Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el no repudio de la misma entre otros aspectos.Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación de Datos.

Métodos de Encriptación

Para poder Encriptar un dato, se pueden utilizar tres procesos matemáticos diferentes:

Los algoritmos HASH, los simétricos y los asimétricos.

1. Algoritmo HASH:

Este algoritmo efectúa un cálculo matemático sobre los datos que constituyen el documento y da como resultado un número único llamado MAC. Un mismo documento dará siempre un mismo MAC.

2. Criptografía de Clave Secreta o Simétrica

Utilizan una clave con la cual se encripta y desencripta el documento. Todo documento encriptado con una clave, deberá desencriptarse, en el proceso inverso, con la misma clave. Es importante destacar que la clave debería viajar con los datos, lo que hace arriesgada la operación, imposible de utilizar en ambientes donde interactúan varios interlocutores.

Los criptosistemas de clave secreta se caracterizan porque la clave de cifrado y la de descifrado es la misma, por tanto la robustez del algoritmo recae en mantener el secreto de la misma.

Sus principales características son:

Rápidos y fáciles de implementar

Clave de cifrado y descifrado son la misma

Cada par de usuarios tiene que tener una clave secreta compartida

Una comunicación en la que intervengan múltiples usuarios requiere muchas claves secretas distintas

Actualmente existen dos métodos de cifrado para criptografía de clave secreta, el cifrado de flujo y el cifrado en bloques.

Cifrado de flujo

El emisor A, con una clave secreta y un algoritmo determinístico (RKG), genera una secuencia binaria (s) cuyos elementos se suman módulo 2 con los correspondientes bits de texto claro m, dando lugar a los bits de texto cifrado c, Esta secuencia (c) es la que se envía a través del canal. En recepción, B, con la misma clave y el mismo algoritmo determinístico, genera la misma secuencia cifrante (s), que se suma módulo 2 con la secuencia cifrada (c), dando lugar a los bits de texto claro m.

Los tamaños de las claves oscilan entre 120 y 250 bits

Cifrado en bloque

Los cifrados en bloque se componen de cuatro elementos:

- Transformación inicial por permutación.

- Una función criptográfica débil (no compleja) iterada r veces o "vueltas".

- Transformación final para que las operaciones de encriptación y des encriptación sean simétricas.

- Uso de un algoritmo de expansión de claves que tiene como objeto convertir la clave de usuario, normalmente de longitud limitada entre 32 y 256 bits, en un conjunto de subclaves que puedan estar constituidas por varios cientos de bits en total.

3. Algoritmos Asimétricos (RSA):

Requieren dos Claves, una Privada (única y personal, solo conocida por su dueño) y la otra llamada Pública, ambas relacionadas por una fórmula matemática compleja imposible de reproducir. El concepto de criptografía de clave pública fue introducido por Whitfield Diffie y Martin Hellman a fin de solucionar la distribución de claves secretas de los sistemas tradicionales, mediante un canal inseguro. El usuario, ingresando su PIN genera la clave Pública y Privada necesarias. La clave Pública podrá ser distribuida sin ningún inconveniente entre todos los interlocutores. La Privada deberá ser celosamente guardada. Cuando se requiera verificar la autenticidad de un documento enviado por una persona se utiliza la Clave Publica porque el utilizó su Clave Privada.

Hacker

Para otros usos de este término, véase Hacker (desambiguación).

En informática, un hacker,1 es una persona que pertenece a una de estas comunidades o subculturas distintas pero no completamente independiente.

Gente apasionada por la seguridad informática. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet ("Black hats"). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas ("White hats") y a los de moral ambigua como son los "Grey hats".

Una comunidad de entusiastas programadores y diseñadores de sistemas originada en los sesenta alrededor del Instituto Tecnológico de Massachusetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT.2 Esta comunidad se caracteriza por el lanzamiento del movimiento de software libre. La World Wide Web e Internet en sí misma son creaciones de hackers.3 El RFC 13924 amplia este significado como "persona que se disfruta de un conocimiento profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informáticas"

La comunidad de aficionados a la informática doméstica, centrada en el hardware posterior a los setenta y en el software (juegos de computadora, crackeo de software, la demoscene) de entre los ochenta/noventa.

Características de los Hackers

· Persona que disfruta con la exploración de los detalles de los sistemas programables y cómo aprovechar sus posibilidades; al contrario que la mayoría de los usuarios, que prefieren aprender sólo lo imprescindible.

· El que programa de forma entusiasta (incluso obsesiva).

· Persona capaz de apreciar el valor del hackeo.

· Persona que es buena programando de forma rápida.

· Experto en un programa en particular, o que realiza trabajo frecuentemente usando cierto programa; como en «es un hacker de Unix.»

· La creencia en que compartir información es un bien poderoso y positivo, y que es tarea ética de los hackers compartir sus experiencias escribiendo código abierto («open source») y facilitando el acceso a la información y los recursos de computación siempre que sea posible

· La creencia de que romper sistemas por diversión y exploración está éticamente bien siempre que el hacker no cometa un robo, un acto de vandalismo o vulnere la confidencialidad.

CONSECUENCIAS DE LOS HACKERS

- El hacking suele ser la puerta de entrada para el robo de datos, información o secretos comerciales de las empresas, de sus clientes, proveedores o personal.

- Pero, es muy importante que las empresas se concienticen que existen y que les permiten prevenir los diferentes daños; caso que estos se hayan producido adoptar correctivos para reducirlos.

- lo cual implica saber claramente lo que se hace, excluyéndose los casos de acceso accidental. No se exige, en cambio, daño concreto alguno (vgr., borrado de datos, daño a los archivos o al sistema o copia de obras intelectuales).

CONSECUENCIAS DE LOS VIRUS

Las consecuencias que se pueden presentar en los equipos dependerán del tipo de Virus cada uno de ellos tiene las siguientes  características:

Auto-Reproducirse para poder obtener copia de ellos mismos sin que el usuario brinde su autorización Poder para  alojarse en algunos programas no necesariamente dentro del que lo portaba. Dañar disquetes o discos pues tienden a sobrecalentarlos para que estos disminuyan su tiempo de vida. Memoria RAM Baja

Lentitud en el equipo. Impiden que se ejecuten ciertos archivos. Perdida de archivos o bases de datos. Pueden aparecer archivos extraños que no se encontraban antes del contagio. Es necesario Reiniciar los equipos a menudo.

Los virus se identifican por ser Software diminutos pues también pueden camuflarse de esta forma es muy difícil de detectar y más fácil para ellos expenderse en la computadora,  estos pueden permanecer cierto tiempo inactivo esperando un evento para la replicación de el mismo.

DERECHOS Y OBLIGACIONES DE LOS PRESTATARIOS DE SERVICIOS EN INTERNET

Con la publicación de la LSSI, Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico aparecen nuevos derechos y obligaciones para los prestatarios de los mismos. Estos son los más importantes: 

Los prestadores de servicios deben indicar en su página web:

Su nombre o denominación social y datos de contacto: Domicilio, dirección de correo electrónico y cualquier otro dato que permita una comunicación directa y efectiva, como por ejemplo un teléfono o un número de fax.

Si la empresa está registrada en el Registro Mercantil o cualquier otro registro público, deberá señalar también el número de inscripción que le corresponda.

Su NIF. Información sobre el precio de los productos,

indicando si incluye o no los impuestos aplicables, gastos de envío y cualquier otro dato que deba incluirse en cumplimiento de normas autonómicas aplicables. 

En el caso en que la actividad que se ejerza precise de una autorización administrativa previa, los datos relativos a la misma y los identificativos del órgano encargado de su supervisión.

Si se ejerce una profesión regulada, los datos del Colegio profesional y el número de colegiado, el título

académico y el Estado de la Unión Europea en que se expidió y la correspondiente homologación, en su caso.

Los códigos de conducta a los que esté adherido, en su caso, y la forma de consultarlos electrónicamente.

 

Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito.

Lo anterior no impedirá el posible almacenamiento o acceso a datos con el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Los prestadores de servicios de intermediación no tienen obligación de supervisar los contenidos que alojan, transmiten o clasifican en un directorio de enlaces, pero deben colaborar con las autoridades públicas cuando se les requiera para interrumpir la prestación de un servicio de la sociedad de la información o  para retirar un contenido de la Red.

Los prestadores de servicios de intermediación, no son, en principio, responsables por los contenidos ajenos que transmiten, alojan o a los que facilitan acceso.

Pueden incurrir en responsabilidad si toman una participación activa en su elaboración o si, conociendo la ilegalidad de un determinado material, no actúan con rapidez para retirarlo o impedir el acceso al mismo.

A partir del 29 de marzo de 2008, los proveedores de acceso a Internet están obligados a informar a sus usuarios sobre los medios técnicos que permitan la protección frente a las amenazas de seguridad en Internet (virus informáticos, programas espías, spam) y sobre las herramientas para el filtrado de contenidos no deseados.

Asimismo, se obliga a dichos prestadores, así como a los prestadores de servicios de correo electrónico, a informar a sus clientes sobre las medidas de seguridad que apliquen en la provisión de sus servicios.

Los proveedores de acceso a Internet deberán también informar a sus clientes sobre las posibles responsabilidades en que puedan incurrir por el uso de Internet con fines ilícitos.

Las anteriores obligaciones de información se darán por cumplidas si el prestador incluye dicha información en su página o sitio principal de Internet.

Transacción electrónica segura

Transacción electrónica segura o SET (del inglés, Secure Electrónica Transacción) es un protocolo estándar para proporcionar seguridad a una transacción con tarjeta de crédito en redes de computadoras inseguras, en especial Internet.

SET surge de una solicitud de estándar de seguridad por VISA y MasterCard en febrero de 1996 y la especificación inicial involucró a un amplio rango de compañías, tales como GTE, IBM, Microsoft, Netscape, RSA y VeriSign.

SET utiliza técnicas criptográficas tales como certificados digitales y criptografía de clave pública para permitir a las entidades llevar a cabo una autenticación entre sí y además intercambiar información de manera segura.

SET fue muy publicitado a finales de la década de 1990 como el estándar de facto para el uso de tarjetas de crédito. Sin embargo, no logró el éxito anunciado, debido a la necesidad de instalar software cliente (por ejemplo, una eWallet), y el costo y la complejidad de los vendedores para ofrecer soporte.

A partir del año 2000, las compañías de tarjetas de crédito comenzaron a promocionar un nuevo estándar para reemplazar SET, denominado 3-D Secure.

Por otro lado las implementaciones actuales de e-commerce que solo utilizan el protocolo SSL presentan un bajo costo y simplicidad en su implementación sin

ofrecer la misma calidad de servicios criptográficos que las nuevas alternativas.

Tipos de transacción

"Business to business" (entre empresas): las empresas pueden intervenir como compradoras o vendedoras, o como proveedoras de herramientas o servicios de soporte para el comercio electrónico, instituciones financieras, proveedores de servicios de Internet, etc.

"Business to consumers" (Entre empresa y consumidor): as empresas venden sus productos y prestan sus servicios a través de un sitio Web a clientes que los utilizarán para uso particular.

"Consumers to consumers" (Entre consumidor y consumidor): es factible que los consumidores realicen operaciones entre sí, tal es el caso de los remates en línea.

"Consumers to administrations" (Entre consumidor y administración): los ciudadanos pueden interactuar con las Administraciones Tributarias a efectos de realizar la presentación de las declaraciones juradas y/o el pago de los tributos, obtener asistencia informativa y otros servicios.

"Business to administrations" (Entre empresa y administración): las administraciones públicas actúan como agentes reguladores y promotores del comercio electrónico y como usuarias del mismo.

VENTAJAS DEL COMERCIO ELECTRÓNICO

Para las Empresas

Reducción de costo real al hacer estudio de mercado. Desaparecen los límites geográficos y de tiempo. Disponibilidad las 24 horas del día, 7 días a la semana,

todo el año. Reducción de un 50% en costos de la puesta en marcha

del comercio electrónico, en comparación con el comercio tradicional.

Hacer más sencilla la labor de los negocios con sus clientes.

Reducción considerable de inventarios. Agilizar las operaciones del negocio. Proporcionar nuevos medios para encontrar y servir a

clientes. Incorporar internacionalmente estrategias nuevas de

relaciones entre clientes y proveedores. Reducir el tamaño del personal de la fuerza. Menos inversión en los presupuestos publicitarios. Reducción de precios por el bajo coste del uso de

Internet en comparación con otros medios de promoción, lo cual implica mayor competitividad.

Cercanía a los clientes y mayor interactividad y personalización de la oferta.

Desarrollo de ventas electrónicas. Globalización y acceso a mercados potenciales de

millones de clientes. Implantar tácticas en la venta de productos para crear

fidelidad en los clientes.

Para los clientes

Abarata costos y precios

Da poder al consumidor de elegir en un mercado global acorde a sus necesidades

Un medio que da poder al consumidor de elegir en un mercado global acorde a sus necesidades.

Brinda información pre-venta y posible prueba del producto antes de la compra.

Inmediatez al realizar los pedidos. Servicio pre y post-venta on-line. Reducción de la cadena de distribución, lo que le

permite adquirir un producto a un mejor precio. Mayor interactividad y personalización de la demanda. Información inmediata sobre cualquier producto, y

disponibilidad de acceder a la información en el momento que así lo requiera.

Permite el acceso a más información.

DESVENTAJAS DEL COMERCIO ELECTRÓNICO

Desconocimiento de la empresa. No conocer la empresa que vende es un riesgo del comercio electrónico, ya que ésta puede estar en otro país o en el mismo, pero en muchos casos las "empresas" o "personas-empresa" que ofrecen sus productos o servicios por Internet ni siquiera están constituidas legalmente en su país y no se trata más que de gente que esta "probando suerte en Internet".

Forma de Pago. Aunque ha avanzado mucho el comercio electrónico, todavía no hay una transmisión de datos segura el 100%. Y esto es un problema pues nadie quiere dar sus datos de la Tarjeta de Crédito por Internet. De todos modos se ha de decir que ha mejorado mucho.

Intangibilidad. Mirar, tocar, hurgar. Aunque esto no sea sinónimo de compra, siempre ayuda a realizar una compra.

El idioma. A veces las páginas web que visitamos están en otro idioma distinto al nuestro; a veces, los avances tecnológicos permiten traducir una página a nuestra lengua materna. Con lo cual podríamos decir que éste es un factor "casi resuelto". (Hay que añadir que las traducciones que se obtienen no son excelentes ni mucho menos, pero por lo menos nos ayudan a entender de que nos están hablando o que nos pretenden vender).

Conocer quien vende. Ya sea una persona o conocer de qué empresa se trata. En definitiva saber quién es, como es, etc. Simplemente es una forma inconsciente de tener más confianza hacia esa empresa o persona y los productos que vende.

Poder volver (post y pre-venta). Con todo ello podemos reclamar en caso de ser necesario o pedir un servicio "post-venta". Al conocerlo sabemos dónde poder ir. El cliente espera recibir una atención "pre-venta" o "post-venta".

Privacidad y seguridad. La mayoría de los usuarios no confía en el Web como canal de pago. En la actualidad, las compras se realizan utilizando el número de la tarjeta de crédito, pero aún no es seguro introducirlo en Internet sin conocimiento alguno. Cualquiera que transfiera datos de una tarjeta de crédito mediante Internet, no puede estar seguro de la identidad del vendedor. Análogamente, éste no lo está sobre la del comprador. Quien paga no puede asegurarse de que su número de tarjeta de crédito no sea recogido y sea utilizado para algún propósito malicioso; por otra parte, el vendedor no puede asegurar que el dueño de la tarjeta de crédito rechace la adquisición. Resulta irónico que ya existan y funcionen correctamente los sistemas de pago electrónico para las grandes operaciones comerciales, mientras que

los problemas se centren en las operaciones pequeñas, que son mucho más frecuentes.

RIESGOS ELECTRONICOS

La mayor cantidad de fraudes por manipulación que sufren en este momento las empresas se originan en la debilidad de los procesos de aseguramiento de la integridad de la información contenida en los formatos para el trámite de pagos, matrícula de proveedores, modificaciones en los archivos maestros, etc. Rara vez las organizaciones consideran que las áreas de Control Interno o de Auditoría deban involucrarse en este tipo de actividades; lo cual resulta siendo un costoso error.

Siempre hemos sugerido que en la etapa de diseño de los procedimientos y documentos para la automatización de procesos relacionados con la administración de recursos financieros, se cuente con el apoyo de las dependencias de Control Interno o de personas con conocimientos acerca de los riesgos que se corren al depositar excesiva confianza en los procesos de transferencia electrónica de fondos, como los ofrecidos por las entidades bancarias.

El procedimiento para efectuar pagos por transferencia electrónica, usualmente comienza con la matrícula de las cuentas del beneficiario de dichos pagos en el sistema de la empresa deudora. Para ello, basta con digitar los datos del beneficiario, como son nombre, NIT, número de cuenta y nombre de la entidad bancaria correspondiente. Una vez hecho lo anterior, la persona autorizada prepara una relación con los pagos a realizar, para que otra persona diferente sea quien los apruebe y ordene la distribución de los fondos entre las cuentas de cada beneficiario de pagos.

Ejemplos de seguridad y confianza

La autenticación es el proceso mediante el cual se confirma que quien se conecta y solicita acceso a un servicio es realmente quien dice ser, es decir, el legítimo usuario. Los siguientes elementos son los principales encargados de autenticar el proceso desde su inicio (tras la conexión con el servidor destino).

La elección de unos u otros dependerá siempre de la infraestructura proporcionada por el comercio o banco online y las posibilidades de la conexión o dispositivo mediante el que se realice el proceso.

Claves de acceso

Hasta ahora, el elemento más utilizado para comprobar la legitimidad del usuario que solicita realizar la transacción ha sido el uso de claves de acceso. Existen multitud de mecanismos que se han ido mejorando y adoptando lo largo de los años, los ejemplos más significativos son:

• PIN (Personal Identification Number), número de identificación personal o contraseña

• El número de identificación personal es la medida más sencilla y clásica de identificación: el banco o tienda online facilita una clave numérica o código alfanumérico para identificarnos, que deberá ser introducido en el formulario correspondiente en el momento de la autenticación

.TAN (Transaction Autenticarían Number) o número de autenticación de transacción Instituto Nacionalde

Tecnologías de la Comunicación. Se trata de una evolución del PIN. Está formado por una lista o tabla de códigos que, en función de las circunstancias, pueden haber sido previamente generados y distribuidos de manera física (papel o tarjetas) o distribuirse instantes de la transacción a través de medios digitales o dispositivos electrónicos. Encada transacción se solicitará una clave distinta. Algunas variantes de este sistema son:

O mTAN: Antes de la transacción el banco envía el número de identificación a través del móvil del cliente, en un SMS por ejemplo.

o iTAN: Tabla de códigos que utiliza índices y que se corresponde con las conocidas tarjetas de coordenadas bancarias que facilitan las entidades para realizar la confirmación de pagos o transacciones. Por ejemplo, se puede solicitar introducir la clave correspondiente con la fila C columna 2.

o iTANplus: Nueva variante que añade al proceso. Los CAPTCHAS son imágenes con información en su interior que se supone solo podrán ser leídas por humanos y no por programas automatizados. El CAPTCHA mostrado puede identificar el TAN a introducir, o utilizarse como método de comprobación de identidad (mostrando por ejemplo la fecha de nacimiento del usuario).