Experto Antifraude

Auditoría de TI

Los 7 fraudes más subestimados en áreas de TI y ciberseguridad

Detalles
Categoría de nivel principal o raíz: Blog
TI

Por:  Equipo Auditool

En la actualidad, las organizaciones dependen de la tecnología para procesar, almacenar y proteger información crítica. Sin embargo, este mismo entorno tecnológico abre la puerta a fraudes que, en muchas ocasiones, son poco considerados o subestimados por los equipos de auditoría. Estos fraudes no siempre se manifiestan con ataques espectaculares o brechas mediáticas, sino que suelen operar de manera silenciosa, generando pérdidas económicas, afectando la reputación institucional y comprometiendo la continuidad del negocio.

Para los auditores internos y externos, así como para los profesionales de TI, identificar estos riesgos resulta esencial. Reconocer las señales tempranas y establecer controles efectivos fortalece la capacidad de realizar auditorías integrales en ciberseguridad y tecnologías de la información.

A continuación, se presentan los siete fraudes más subestimados en áreas de TI y ciberseguridad, explicados con ejemplos, riesgos y recomendaciones de control.

1. Accesos indebidos y uso no autorizado de credenciales

Descripción:
El fraude más común y, a la vez, más subestimado en los entornos de TI es el acceso indebido a sistemas, aplicaciones o bases de datos. Esto ocurre cuando un empleado, excolaborador o tercero utiliza credenciales válidas para entrar a información sin autorización.

Ejemplo:
Un empleado de soporte mantiene activos los accesos de un compañero que fue despedido y los utiliza para obtener información confidencial de clientes.

Riesgos principales:

  • Robo de datos sensibles.

  • Alteración de registros financieros.

  • Pérdida de confianza en los controles internos.

Recomendaciones para auditoría y control:

  • Revisar periódicamente la administración de cuentas de usuarios y accesos.

  • Verificar que exista un procedimiento de baja inmediata al terminar una relación laboral.

  • Evaluar la implementación de controles como autenticación multifactor (MFA).

2. Phishing y fraudes de ingeniería social

Descripción:
El phishing y la ingeniería social buscan engañar a los usuarios para obtener credenciales, instalar malware o realizar transferencias no autorizadas. Aunque ampliamente conocido, sigue siendo subestimado, especialmente cuando se combina con técnicas más sofisticadas.

Ejemplo:
Un correo aparentemente proveniente del área de TI solicita a un empleado cambiar su contraseña en un enlace falso, permitiendo al atacante ingresar al sistema corporativo.

Riesgos principales:

  • Robo de información personal y financiera.

  • Pérdida de fondos por transferencias fraudulentas.

  • Compromiso de correos electrónicos corporativos (BEC).

Recomendaciones para auditoría y control:

  • Revisar políticas de capacitación y concienciación en seguridad.

  • Validar pruebas periódicas de phishing interno.

  • Confirmar que existan filtros de correo avanzados y alertas de comportamiento sospechoso.

3. Manipulación de datos y registros digitales

Descripción:
Consiste en la alteración intencional de datos en sistemas contables, financieros o de gestión con el objetivo de obtener un beneficio indebido. Puede darse dentro de las áreas de TI o a través de usuarios con permisos especiales.

Ejemplo:
Un usuario modifica los registros de inventario en el ERP para ocultar faltantes o justificar salidas de mercancía no autorizada.

Riesgos principales:

  • Distorsión en los estados financieros.

  • Pérdida de trazabilidad en operaciones.

  • Fraudes encubiertos durante largos periodos.

Recomendaciones para auditoría y control:

  • Realizar análisis de integridad de bases de datos y bitácoras.

  • Verificar segregación de funciones en sistemas críticos.

  • Revisar controles de auditoría automatizados (logs de cambios).

4. Instalación de software no autorizado (Shadow IT)

Descripción:
El uso de aplicaciones, servicios en la nube o software no autorizados es una fuente creciente de fraude y riesgo. Estas herramientas pueden utilizarse para extraer información o generar canales paralelos de comunicación que escapan a la supervisión corporativa.

Ejemplo:
Un área de ventas instala un servicio gratuito de almacenamiento en la nube para compartir contratos, sin controles de cifrado ni respaldo corporativo.

Riesgos principales:

  • Exposición de datos sensibles en entornos inseguros.

  • Infecciones de malware a través de aplicaciones no oficiales.

  • Violación de normativas como GDPR o leyes de protección de datos.

Recomendaciones para auditoría y control:

  • Identificar aplicaciones y servicios no autorizados en la red.

  • Revisar las políticas de uso de software y dispositivos.

  • Recomendar el uso de herramientas oficiales con supervisión de TI.

5. Fraudes internos en administración de sistemas

Descripción:
Administradores de sistemas o personal con privilegios elevados pueden aprovechar su posición para manipular información, crear usuarios fantasmas o alterar configuraciones de seguridad en beneficio propio.

Ejemplo:
Un administrador crea cuentas ocultas con privilegios de acceso para ingresar de forma encubierta y transferir datos sensibles a competidores.

Riesgos principales:

  • Fraudes encubiertos por largos periodos.

  • Exposición de información estratégica.

  • Dificultades en atribuir responsabilidades.

Recomendaciones para auditoría y control:

  • Revisar los accesos privilegiados y su justificación.

  • Verificar la existencia de monitoreo continuo sobre administradores.

  • Recomendar la rotación periódica de contraseñas maestras y sesiones supervisadas.

6. Suplantación de identidades digitales (Deepfakes y spoofing)

Descripción:
Con el auge de la inteligencia artificial, los fraudes basados en la suplantación de voz, imagen o correos electrónicos han crecido. Aunque muchas organizaciones aún no lo consideran prioritario, representa una amenaza grave.

Ejemplo:
Un director financiero recibe una llamada con la voz aparentemente de su CEO solicitando la aprobación urgente de una transferencia.

Riesgos principales:

  • Transferencias no autorizadas.

  • Pérdida de credibilidad ante clientes y socios.

  • Daños reputacionales significativos.

Recomendaciones para auditoría y control:

  • Validar mecanismos de verificación múltiple en transacciones críticas.

  • Revisar protocolos de confirmación fuera de canales electrónicos.

  • Recomendar simulaciones para concienciar sobre este tipo de amenazas.

7. Exfiltración de datos a través de dispositivos personales

Descripción:
El uso de dispositivos personales en entornos corporativos (BYOD) puede abrir la puerta a fraudes de exfiltración de información sensible. Este riesgo aumenta cuando no existen políticas claras de seguridad móvil.

Ejemplo:
Un empleado descarga informes financieros en su laptop personal y los comparte con un tercero para beneficio económico.

Riesgos principales:

  • Pérdida de propiedad intelectual.

  • Filtración de datos sensibles de clientes.

  • Sanciones legales por incumplimiento normativo.

Recomendaciones para auditoría y control:

  • Revisar políticas de seguridad BYOD y controles de cifrado.

  • Validar el uso de herramientas de administración de dispositivos móviles (MDM).

  • Recomendar la sensibilización sobre responsabilidades legales del manejo de información.

Conclusión

Los fraudes en TI y ciberseguridad no siempre se presentan como ataques espectaculares. Muchas veces surgen de prácticas cotidianas, descuidos o aprovechamiento de privilegios internos. Los siete fraudes analizados —accesos indebidos, phishing, manipulación de datos, uso de software no autorizado, fraudes internos en administración, suplantación de identidades digitales y exfiltración de datos— muestran cómo la combinación de debilidades técnicas y humanas puede comprometer la seguridad de la información y la continuidad del negocio.

Para los auditores, detectar estos riesgos implica fortalecer la capacidad de realizar auditorías integrales en ciberseguridad y TI, donde no solo se verifiquen controles técnicos, sino también políticas, cultura organizacional y procesos de gestión del riesgo. Al reconocer y anticipar estos fraudes, los profesionales de auditoría añaden valor estratégico, protegen activos críticos y contribuyen al fortalecimiento de la confianza en las organizaciones.

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado