Casos reales de fraude informático y legislación en Bolivia
Anuncio
Casos reales de fraude informático y legislación en Bolivia Universidad Católica Boliviana Auditoria de Sistemas Hernan Payrumani 1. Casos Reales 1.1. Fraude Informático en recaudación de impuestos de Inmuebles El año 1999 - 2001 la Contraloría General de la República de Bolivia, a través de la Gerencia de Evaluación de Sistemas Informáticos (GESI) detecto indicios de fraude informático en las bases de datos de recaudación de inmuebles de 6 Gobiernos Municipales entre grandes y medianos, todos con el mismo modus operandi[1]. Un 85% de los municipios en esas fechas utilizaban sistemas en FOXPRO y efectuaban el cobro de impuesto con personal/cajeros del mismo municipio (a la fecha 15% continúan). 1.1.1. Modus Operandi Los cajeros con pocas habilidades informáticas o en coalición con personal de sistemas: Se instalaban el FOXPRO en las terminales. Indagaban las bases de datos donde se registraban los cobros de recaudaciones y los parámetros de construcción de inmuebles que hacen al cálculo del impuesto. Al analizar el día de la recaudación lograban acceso a las bases de datos. Modificaban parámetros de construcción del inmueble para reprocesar la liquidación del impuesto de algunos inmuebles logrando que se reduzca el importe a pagar. Reimprimían boletas de pago, quedándose con el saldo en efectivo del cobro. En otros casos, modificaban directamente en la base de datos, el importe cobrado o cambiaban la fecha de cobro para evitar que se reporte en el arqueo de cajas. Esto por la ausencia de seguridades y deficiente ambiente de control interno. 1.2. Planillas de Sueldo de personal de sistemas El año 2006 a través de la Empresa AUD IT Consulting Group S.R.L. se detecto fraude informático en programas fuente con código malicioso que efectuaba el proceso de las planillas de sueldo de una Entidad Pública y no tomaba en cuenta los atrasos, faltas en el cálculo de descuentos únicamente para el personal de sistemas, por lo que ninguno tenía un descuento cada mes, pese a que era evidente los continuos atrasos y faltas al trabajo. 1.2.1. Modus Operandi El analista/programador que desarrollo el sistema de planillas de sueldo para la Entidad: Incluía dentro del programa fuente, luego compilarlo, instrucciones de condición que preguntaban si el registro en curso para el proceso de planillas correspondía a un ítem del personal de sistemas no llamaba a la función para el cálculo de multas por atrasos o faltas, caso contrario efectuaba el proceso normal para todo el resto del personal. La incorporación del código malicioso efectuaba días antes del procesamiento de planillas cerca de un de mes. Pasado el proceso de planillas y emisión de boletas de pago, el Analista/ Programador restituía el programa original sin el código malicioso. 1.3. Cobro por tarifas del servicio eléctrico El año 2001 la Contraloría General de la República de Bolivia, a través de la Gerencia de Evaluación de Sistemas Informáticos (GESI) detecto indicios de fraude informático en las bases de datos de recaudación por el servicio de luz eléctrica en 3 municipios que hacían uso de un sistema de facturación y cobranzas desarrollado en Lenguaje 4th Dimension con bases de datos informix. 1.3.1. Modus Operandi Las cajas se cerraban a las 5 de la tarde, sin embargo, una de las cajeras cerraba la caja 10 minutos antes de la cinco de la tarde. Retenía entre cinco y diez comprobantes diarios que fueron introducidos al sistema. Inmediatamente entregaba al encargado de sistemas, quien abría la base de datos y les borraba como ingresos del día realmente recaudado y les registraba en un mes anterior con importes mínimos. Ambos, la cajera y el encargado de sistemas tomaban el dinero. 2. Legislación 2.1. Ley # 1768 - Capitulo XI - Delitos Informáticos En Bolivia, en el año de 1989, se consideró el análisis y tratamiento sobre Legislación Informática concerniente a contratación de bienes y servicios informáticos, flujo de información computarizada, modernización del aparato productivo nacional mediante la investigación científico - tecnológica en el país y la incorporación de nuevos delitos emergentes del uso y abuso de la informática. Este conjunto de acciones tendientes a desarrollar de manera integral la informática, se tradujo en el trabajo de especialistas y sectores involucrados, representantes en el campo industrial, profesionales abogados y especialistas informáticos, iniciándose la elaboración del Proyecto de Ley Nacional de Informática, concluido en febrero de 1991. Asimismo, el Código Penal Boliviano, texto ordenado según ley # 1768 de 1997, incorpora en el Titulo X un capítulo destinado a los Delitos Informáticos. Ambos cuerpos legales tratan de manera general los nuevos delitos emergentes del uso de la informática. La Ley # 1768, no obstante de no estar exenta de la problemática actual, al abordar en el Capitulo XI la tipificación y penalización de delitos informáticos, no contempla la descripción de estas conductas delictivas detalladas anteriormente. Por consiguiente, la atipicidad de las mismas en nuestro ordenamiento jurídico penal vigente imposibilita una calificación jurídico-legal que individualice a la mismas, llegando a existir una alta cifra de criminalidad e impunidad, haciéndose imposible sancionar como delitos, hechos no descriptos en la legislación penal con motivo de una extensión extra legal del ilícito penal ya que se estaría violando el principio de legalidad expreso en la máxima “Nullum crime sine lege". Así mismo resulta imposible extender el concepto de bienes muebles e inmuebles a bienes incorporales como ser los datos, programas e información computarizada. 2.1.1. Artículo 363 bis.- (Manipulación informática) El con la intención de obtener un beneficio indebido para si o un tercero, manipule un procesamiento o transferencia de datos informáticos que conduzca a un resultado incorrecto o evite un proceso tal cuyo resultado habría sido correcto, ocasionando de esta manera una transferencia patrimonial en perjuicio de tercero, seria sancionado con reclusión de uno a cinco años y con multa de sesenta a doscientos días. 2.1.2. Articulo 363 ter.- (Alteración, acceso y uso indebido de datos informáticos) El que sin estar autorizado se apodere, acceda, utilice, modifique, suprima o inutilice datos almacenados en una computadora o en cualquier soporte informático, ocasionando perjuicio al titular de la información, sería sancionado con prestación de trabajo hasta un año o multa hasta doscientos días. 3. Recomendaciones Se debe buscar apoyo del Gobierno y de las Máximas Autoridades Ejecutivas en las Entidades Públicas para la aplicación de Políticas Gubernamentales en temas de seguridad en Tecnologías de la información ya que a la fecha no se hizo nada. A la vez buscar apoyo de los Directores Ejecutivos en las Empresas Privadas para la implementación de Sistemas de Gestión de la Seguridad de la Información. Sin duda es una necesidad que entidades Públicas y Privadas deban lograr la Certificación en el Sistema de Gestión de la Seguridad de la Información basado en Norma ISO 27001 ya que en Bolivia no hay empresa certificada.
