REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

El hacking ético y la seguridad de la información de empresas en México - Parte II

 

Hackeo ético

En el artículo anterior revisamos qué es el hacking ético, cuál es su objetivo, quiénes trabajan en él y cuáles son sus alcances. Retomando esto último abordaré a detalle algunas razones para aplicar esta metodología en casos concretos como los fraudes y las fugas de información en países latinoamericanos, aunque enfocándonos específicamente en México.

Desafortunadamente, hoy en día existe un bajo índice de inversión por parte de las organizaciones en auditorías pentesting, ya que no se le presta la debida importancia, y se prefiere invertir en otras áreas que puedan redituar a corto plazo, o simplemente las desconocen.

Este hecho ha propiciado el fraude de manera exponencial. Según un estudio realizado por KPMG referente a esta actividad en México durante el 2010, el nivel registrado de incidencia de fraudes para las compañías que operan en el país es de 75 por ciento, como lo muestra la siguiente gráfica:

Gráfica Incidencia de Fraudes
Img. 1 Gráfica de Incidencia de fraudes en empresas que operan en México. 
Fuente: KPMG. Encuesta de Fraude en México 2010

Esto significa que prácticamente 8 de cada 10 empresas que operan en México han padecido al menos un fraude en los últimos doce meses. Al comparar con otros países de la región, (Argentina, Brasil, Chile y Uruguay) se puede observar que México sigue presentando los niveles de incidencia de fraude más altos, pese a que en varios de estos países se registró un incremento en los mismos, tal y como lo muestra el siguiente gráfico:

Gráfica Incidencia de Fraudes en América Latina
Img. 2 Incidencia de fraudes en América Latina
Fuente: KPMG. Encuesta de Fraude en México 2010

 

Si bien es cierto que el grado de incidencia de fraudes en general se ha mantenido prácticamente en el mismo nivel, también se pueden observar cambios significativos en el tipo de fraudes cometidos contra empresas que operan en México.

En términos de quién comete el ilícito, se pueden distinguir dos tipos de fraude: el interno y el externo.

El fraude interno es aquel que comete un empleado de la propia organización, sea de manera solitaria o en complicidad con alguna otra persona. Por el contrario, el fraude externo es el que realiza una persona ajena a la organización, como puede ser un proveedor o un cliente. Con base en esta clasificación, se puede observar que los fraudes que se han cometido en los últimos doce meses a empresas que operan en México son principalmente fraudes internos, un 77 por ciento, como se muestra en la siguiente gráfica:

Tipo de Fraude
Img. 3 Tipo de fraude por perpetrador del ilícito
Fuente: KPMG. Encuesta de Fraude en México 2010

Por lo anterior, el control de una empresa debe tener base en un sistema permanente. No se puede dejar el patrimonio de la compañía al cuidado de la buena voluntad de los empleados, mucho menos en situaciones de crisis. No olvidemos que en situaciones como las que hoy se presentan, el principal objetivo de las empresas es mantenerse operativas e impedir mayores pérdidas. De ahí que, proteger a la empresa de posibles quebrantos se convierte, en buena medida, en un objetivo estratégico.

Para 2010, solo el 30 por ciento de las compañías que operaban en el país habían adoptado medidas de prevención de fraudes, las cuales pueden deberse a fallas en los sistemas, información divulgada consciente o inconscientemente por los trabajadores de las mismas, ataques informáticos, falta de cultura organizacional, etcétera.

La gráfica siguiente muestra la proporción de empresas que cuentan con medidas preventivas y las que reconocen no tenerlas. La alta relación de empresas que no cuentan con mecanismos de prevención de fraudes explica, en parte, el nivel de incidencia de fraudes en México, siendo uno de los más altos en América Latina.

Empresas con Medidas de Prevención de Fraudes
Img. 4 Porcentaje de empresas que cuentan con medidas de prevención de fraudes.
Fuente: KPMG. Encuesta de Fraude en México 2010

 

Como se puede observar, solo el 30 por ciento de las empresas de nuestro país implementa medidas de prevención de fraude. Una mayoría, el 66 por ciento, no lo hace, y un 4 por ciento ni siquiera invierte en ello, no porque no quiera, sino porque desconoce las medidas preventivas que ayudan a mitigar la fuga de información confidencial, lo que trae como consecuencia grandes pérdidas monetarias y de reputación para la organización.

Finalmente, se expone la siguiente gráfica en la que, de acuerdo a estudios realizados en el 2010 por la Consultora KPMG, se hace un comparativo entre el índice detectado en 2008 y el 2010, respeto a los fraudes de índole interna en las empresas mexicanas.

Comparativo Fraudes
Img. 5 Comparativo de incidencia de fraudes
Fuente: KPMG. Encuesta de Fraude en México 2010

Con estos antecedentes, queda claro que los empresarios y empleados deben ser conscientes de la gran cantidad de fraudes que acontecen a su alrededor, sobre todo con aquellos fraudes perpetrados por los propios empleados. También deben tomar conciencia de cuidar que los trabajadores que transportan información confidencial, no la revelen a terceros bajo ninguna circunstancia. En caso de que ocurra cualquier contingencia, prever para tener un plan de respuesta. Acciones como pruebas de penetración o hacking ético ayudarán a encontrar dichas fugas de información para así poder prevenir el mal uso de las mismas, y por consiguiente traer el fortalecimiento de la seguridad de la organización.

En conclusión, las pruebas de penetración o hacking ético son técnicas que arrojan resultados sustanciales a las empresas en cuanto a la detección y explotación de vulnerabilidades existentes en una infraestructura de red (Seguridad física, Seguridad en las comunicaciones, Seguridad inalámbrica, Seguridad en las tecnologías de Internet, Seguridad del resguardo de información, Seguridad de los procesos). Todo pentester (o hacker ético) ayuda a encontrar puntos vulnerables realizando ataques informáticos, evitando que personas maliciosas (o crackers) causen daños, detectando previamente las vulnerabilidades y debilidades de la organización.

Es indispensable romper el paradigma de que lo relacionado con la palabra hacker es malicioso, permitiendo una mayor apertura a la aplicación de esta técnica en empresas en México ya que, como se expuso, el porcentaje de fraudes informáticos es muy alto, inclusive en relación con otros países latinoamericanos.

 

Referencias

Bibliografía

· Anzola, S. Administración de pequeñas empresas (2003). México: McGraw-Hill.

· Barragán, J. et al. Administración de las pequeñas y medianas empresas, retos y problemas ante la nueva economía global (2002). México: Trillas.

· INEGI (1999). Instituto Nacional de Estadística Geografía e Informática.

· MARTÍNEZ Aguirre, Tania Guadalupe. Seguridad en el acceso a los sistemas de información. Celaya, Gto. Tesis de Licenciatura (Ingeniero en Computación- Universidad Lasallista Benavente, Escuela de Ingeniería en Computación), 2009.

Artículos

· Anonymous. Arm yourself against black hats. En: E-WORLD: Businessline. Chennai: Jul 12, 2010.

· Ronald I Raether Jr. DATA SECURITY AND ETHICAL HACKING: Points to Consider for Eliminating Avoidable Exposure. En Business Law Today. Chicago: Sep/Oct 2008. Tomo 18, No. 1; Pág. 55 Ethical hacking on rise, Bill Goodwin. Computer Weekly. Sutton: Jan 31, 2006. Pág. 8 (1 página)

Estudios

· KPMG. Encuesta de Fraude en México 2010. México: KPMG. (2010). Recuperado de http://www.kpmg.com/MX/es/IssuesAndInsights/ArticlesPublications/Documents/Estudios/Encuesta_fraude_en_Mexico_2010.pdf

 

 

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2018.