Auditoría Interna - PLAN

Auditoría de TI

Los 7 fraudes más subestimados en áreas de TI y ciberseguridad

Detalles
Categoría de nivel principal o raíz: Blog
TI

Por:  Equipo Auditool

En la actualidad, las organizaciones dependen de la tecnología para procesar, almacenar y proteger información crítica. Sin embargo, este mismo entorno tecnológico abre la puerta a fraudes que, en muchas ocasiones, son poco considerados o subestimados por los equipos de auditoría. Estos fraudes no siempre se manifiestan con ataques espectaculares o brechas mediáticas, sino que suelen operar de manera silenciosa, generando pérdidas económicas, afectando la reputación institucional y comprometiendo la continuidad del negocio.

Para los auditores internos y externos, así como para los profesionales de TI, identificar estos riesgos resulta esencial. Reconocer las señales tempranas y establecer controles efectivos fortalece la capacidad de realizar auditorías integrales en ciberseguridad y tecnologías de la información.

A continuación, se presentan los siete fraudes más subestimados en áreas de TI y ciberseguridad, explicados con ejemplos, riesgos y recomendaciones de control.

1. Accesos indebidos y uso no autorizado de credenciales

Descripción:
El fraude más común y, a la vez, más subestimado en los entornos de TI es el acceso indebido a sistemas, aplicaciones o bases de datos. Esto ocurre cuando un empleado, excolaborador o tercero utiliza credenciales válidas para entrar a información sin autorización.

Ejemplo:
Un empleado de soporte mantiene activos los accesos de un compañero que fue despedido y los utiliza para obtener información confidencial de clientes.

Riesgos principales:

  • Robo de datos sensibles.

  • Alteración de registros financieros.

  • Pérdida de confianza en los controles internos.

Recomendaciones para auditoría y control:

  • Revisar periódicamente la administración de cuentas de usuarios y accesos.

  • Verificar que exista un procedimiento de baja inmediata al terminar una relación laboral.

  • Evaluar la implementación de controles como autenticación multifactor (MFA).

2. Phishing y fraudes de ingeniería social

Descripción:
El phishing y la ingeniería social buscan engañar a los usuarios para obtener credenciales, instalar malware o realizar transferencias no autorizadas. Aunque ampliamente conocido, sigue siendo subestimado, especialmente cuando se combina con técnicas más sofisticadas.

Ejemplo:
Un correo aparentemente proveniente del área de TI solicita a un empleado cambiar su contraseña en un enlace falso, permitiendo al atacante ingresar al sistema corporativo.

Riesgos principales:

  • Robo de información personal y financiera.

  • Pérdida de fondos por transferencias fraudulentas.

  • Compromiso de correos electrónicos corporativos (BEC).

Recomendaciones para auditoría y control:

  • Revisar políticas de capacitación y concienciación en seguridad.

  • Validar pruebas periódicas de phishing interno.

  • Confirmar que existan filtros de correo avanzados y alertas de comportamiento sospechoso.

3. Manipulación de datos y registros digitales

Descripción:
Consiste en la alteración intencional de datos en sistemas contables, financieros o de gestión con el objetivo de obtener un beneficio indebido. Puede darse dentro de las áreas de TI o a través de usuarios con permisos especiales.

Ejemplo:
Un usuario modifica los registros de inventario en el ERP para ocultar faltantes o justificar salidas de mercancía no autorizada.

Riesgos principales:

  • Distorsión en los estados financieros.

  • Pérdida de trazabilidad en operaciones.

  • Fraudes encubiertos durante largos periodos.

Recomendaciones para auditoría y control:

  • Realizar análisis de integridad de bases de datos y bitácoras.

  • Verificar segregación de funciones en sistemas críticos.

  • Revisar controles de auditoría automatizados (logs de cambios).

4. Instalación de software no autorizado (Shadow IT)

Descripción:
El uso de aplicaciones, servicios en la nube o software no autorizados es una fuente creciente de fraude y riesgo. Estas herramientas pueden utilizarse para extraer información o generar canales paralelos de comunicación que escapan a la supervisión corporativa.

Ejemplo:
Un área de ventas instala un servicio gratuito de almacenamiento en la nube para compartir contratos, sin controles de cifrado ni respaldo corporativo.

Riesgos principales:

  • Exposición de datos sensibles en entornos inseguros.

  • Infecciones de malware a través de aplicaciones no oficiales.

  • Violación de normativas como GDPR o leyes de protección de datos.

Recomendaciones para auditoría y control:

  • Identificar aplicaciones y servicios no autorizados en la red.

  • Revisar las políticas de uso de software y dispositivos.

  • Recomendar el uso de herramientas oficiales con supervisión de TI.

5. Fraudes internos en administración de sistemas

Descripción:
Administradores de sistemas o personal con privilegios elevados pueden aprovechar su posición para manipular información, crear usuarios fantasmas o alterar configuraciones de seguridad en beneficio propio.

Ejemplo:
Un administrador crea cuentas ocultas con privilegios de acceso para ingresar de forma encubierta y transferir datos sensibles a competidores.

Riesgos principales:

  • Fraudes encubiertos por largos periodos.

  • Exposición de información estratégica.

  • Dificultades en atribuir responsabilidades.

Recomendaciones para auditoría y control:

  • Revisar los accesos privilegiados y su justificación.

  • Verificar la existencia de monitoreo continuo sobre administradores.

  • Recomendar la rotación periódica de contraseñas maestras y sesiones supervisadas.

6. Suplantación de identidades digitales (Deepfakes y spoofing)

Descripción:
Con el auge de la inteligencia artificial, los fraudes basados en la suplantación de voz, imagen o correos electrónicos han crecido. Aunque muchas organizaciones aún no lo consideran prioritario, representa una amenaza grave.

Ejemplo:
Un director financiero recibe una llamada con la voz aparentemente de su CEO solicitando la aprobación urgente de una transferencia.

Riesgos principales:

  • Transferencias no autorizadas.

  • Pérdida de credibilidad ante clientes y socios.

  • Daños reputacionales significativos.

Recomendaciones para auditoría y control:

  • Validar mecanismos de verificación múltiple en transacciones críticas.

  • Revisar protocolos de confirmación fuera de canales electrónicos.

  • Recomendar simulaciones para concienciar sobre este tipo de amenazas.

7. Exfiltración de datos a través de dispositivos personales

Descripción:
El uso de dispositivos personales en entornos corporativos (BYOD) puede abrir la puerta a fraudes de exfiltración de información sensible. Este riesgo aumenta cuando no existen políticas claras de seguridad móvil.

Ejemplo:
Un empleado descarga informes financieros en su laptop personal y los comparte con un tercero para beneficio económico.

Riesgos principales:

  • Pérdida de propiedad intelectual.

  • Filtración de datos sensibles de clientes.

  • Sanciones legales por incumplimiento normativo.

Recomendaciones para auditoría y control:

  • Revisar políticas de seguridad BYOD y controles de cifrado.

  • Validar el uso de herramientas de administración de dispositivos móviles (MDM).

  • Recomendar la sensibilización sobre responsabilidades legales del manejo de información.

Conclusión

Los fraudes en TI y ciberseguridad no siempre se presentan como ataques espectaculares. Muchas veces surgen de prácticas cotidianas, descuidos o aprovechamiento de privilegios internos. Los siete fraudes analizados —accesos indebidos, phishing, manipulación de datos, uso de software no autorizado, fraudes internos en administración, suplantación de identidades digitales y exfiltración de datos— muestran cómo la combinación de debilidades técnicas y humanas puede comprometer la seguridad de la información y la continuidad del negocio.

Para los auditores, detectar estos riesgos implica fortalecer la capacidad de realizar auditorías integrales en ciberseguridad y TI, donde no solo se verifiquen controles técnicos, sino también políticas, cultura organizacional y procesos de gestión del riesgo. Al reconocer y anticipar estos fraudes, los profesionales de auditoría añaden valor estratégico, protegen activos críticos y contribuyen al fortalecimiento de la confianza en las organizaciones.

× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado