El Fraude en las Empresas sin Control

Debido al desconocimiento y a la falta de políticas de seguridad que sean consecuentes con los riesgos asociados al negocio, los gerentes no promueven la cultura de la seguridad en sus organizaciones.

Frases como: "¿otra vez tengo que cambiar la clave?, NOO..." "ahora con ese sistema es más difícil trabajar, me demoro mucho para hacer cualquier cosa"... "es que acá no tenemos acceso a ninguna página"... y miles de frases similares, de rechazo, causan malestar entre los trabajadores pero son medidas necesarias y básicas para ejercer control sobre la información que manejan los empleados.

En Colombia, la firma KPMG realizo una encuesta sobre el fraude en las empresas del país y dentro de muchas estadísticas sorprendentes y trágicas al mismo tiempo, se encuentra que sólo el 23% de las empresas cuentan con un programa de prevención de fraudes.

Uno de los datos entregados por la encuesta indica que el 68% de los fraudes es cometido internamente. Esta es una de las estadísticas donde la aplicación de las TIC sería de gran ayuda para su disminución y su control.

Los principales tipos de fraude son la malversación de activos y los fraudes contables o financieros. Generalmente se presentan debido a la falta de un control interno serio, programado, estructurado y apoyado sobre tecnologías de información, que permitan el seguimiento y la auditoría de cada uno de los aspectos asociados.

En el universo de la tecnología existen aplicaciones y programas que aplican las teorías de control interno como COSO, MAGERIT, o la que actualmente es usada por las principales organizaciones mundiales y que cubre muchos más aspectos que solo el control interno, la cual es llamada Gobierno Corporativo.

Este mecanismo de control está apoyado y diseñado sobre las TIC, y a diferencia de lo que muchos empresarios y gerentes piensan, existe software libre que esta muy bien calificado para dar apoyo en este proceso y permite un nivel de auditoría muy alto.

Otro mecanismo claro que puede ser aplicado a muy bajos costos es el control en el acceso que cada uno de los usuarios tiene en la organización, generando perfiles definidos claramente según las necesidades de cada uno, estableciendo políticas y una definida difusión de las mismas. Para esto no se requiere casi nada de presupuesto, pero si se requiere que la alta gerencia este dispuesta a ser la primera en cumplir todas las restricciones que se implementen.

Por qué usar HTTPS y no HTTP

HTTP es el protocolo usado tradicionalmente por los navegadores para la conexión de cualquier sitio web, sin embargo este protocolo no cifra el contenido de la información que esta transmitiendo, lo que permite a un atacante leer de forma clara cualquier dato que se esté transmitiendo.

Debido a esta debilidad se realiza una evolución de este protocolo, aplicando mecanismos de cifrado que evitan que los datos transmitidos puedan ser leídos por un atacante al interceptar una comunicación.

Uno de los ejemplos donde los administradores de TIC deben emplear este mecanismo de aseguramiento es en el correo electrónico, se preguntarán por qué??. Bueno todas las comunicaciones dirigidas a su servidor de correo pasan inicialmente por varios elementos que no están bajo su control, imagínese que alguien usa uno de esos elementos para interceptar todo el tráfico que va a su servidor.

Con esto no solo obtendría todo el contenido de los correos sino los datos de usuarios y contraseñas que pueda capturar en este sistema. Aun le parece que no es importante usar HTTPS para las conexiones de su correo electrónico???

Ahora se preguntará ¿cómo reconocer que navega en una página cifrada y que usa como protocolo de transmisión el https? Es sencillo, todos los navegadores lo hacen de una forma gráfica diferente pero lo que se debe buscar es un candado que nos indique que los datos transmitidos en esa página van cifrados. En Internet Explorer (navegador por defecto de Windows) se puede ver de forma clara un candado en la parte derecha de la barra de navegación, como se ve a continuación:

Cuando nos conectamos y vemos esto inmediatamente podemos saber que estamos en una pagina cifrada que nos garantiza por medio de sus certificados que es válida y que podemos confiar en ella.

Pero en ocasiones el sistema nos muestra un mensaje notificando que la página https a la que ingresamos no se puede certificar que es quien dice ser, y en la mayoría de casos pasamos esta advertencia por alto y le indicamos que se conecte así no esté certificada, este mensaje es el siguiente:

Siempre se debería hacer caso e indicar que se cierre esta página, sin embargo si conoce y confía en el sitio puede ingresar, pues este mensaje indica que no se pudo certificar la confiabilidad del certificado de la página.

Para entender mejor el concepto de la información cifrada les vamos a mostrar cual es la diferencia de lo que vería un atacante cuando intercepta el tráfico de una página, cuando se realiza la conexión simplemente con http y qué ve cuando la conexión la hace con https.

Al realizar la conexión con http e indicar el usuario y contraseña de conexión al sistema, un atacante interceptaría el tráfico y vería lo siguiente:

En la imagen, la información de usuario y contraseña se ve de forma clara y se pueden obtener todos los datos de conexión. Sin embargo, cuando usamos la conexión usando https el tráfico capturado por un atacante sería el siguiente

Como se puede ver, nada en esta imagen es claro, no se puede obtener ningún dato que nos indique que página se conectó, qué usuario usó o cualquier información que pueda afectar nuestra seguridad.

Debido a esto, todo administrador debe buscar que las páginas que implementen transferencia de credenciales de autenticación usen como protocolo de comunicación el https.