Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno

REGÍSTRATE GRATIS EN NUESTRO BOLETÍN

ISSN IMPRESO: 2665-1696 - ISSN ONLINE: 2665-3508

Ratio: 4 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio desactivado
 

Por: C.P. Iván Rodríguez. Colaborador de Auditool

Uno de los fraudes informáticos más comunes es el phishing. Mediante este tipo de fraude, una universidad en Edmonton, Canadá, fue defraudada por USD$12 millones en el año 2017. El pishing es una técnica de ingeniería social para obtener información confidencial, habitualmente mediante el correo electrónico. Generalmente se envía un mensaje, con un enlace o link, para engañar a los usuarios y hacer que lleguen a sitios web falsos, con apariencia similar a la de sitios legítimos. De esta manera, obtienen información confidencial del usuario como contraseñas, tarjetas de crédito o datos financieros y bancarios, haciéndose pasar por una comunicación confiable y legítima.

Una vez en el sitio falso, los usuarios incautos, que han sido engañados, ingresan sus datos confidenciales, lo que les permite a los delincuentes realizar estafas y fraudes con la información obtenida de esta manera.

Normalmente, los mensajes llegan al destinatario como spam o correo no deseado, aunque en ocasiones estos correos llegan a la bandeja de entrada y parecieran proceder de departamentos comerciales, de recursos humanos o de tecnología de terceros, y están asociados a transacciones financieras.

Otras formas de propagación pueden ser los mensajes SMS a través del teléfono móvil e incluso el correo físico. Suele ser habitual prometer grandes premios y descuentos en la venta de productos. Si bien los destinatarios de los mensajes son genéricos, y los mensajes son enviados en forma masiva para alcanzar un número importante de usuarios; hay casos en que están dirigidos a un destinatario específico.

Para prevenir el riesgo de fraude asociado a esta técnica, hay algunas sencillas medidas de control interno que contribuyen a su mitigación:

Contar con una persona de contacto:

Es importante contar con una persona de contacto, de la organización o empresa, con la cual se mantienen relaciones comerciales, de manera que se puedan confirmar operaciones, pagos, cambios en condiciones de negociación, etc. Así mismo, cuando se reciban comunicaciones en ese sentido, es importante validar los nuevos términos acordados.

Verificaciones por otros medios:

En concordancia con la medida anterior, ciertas modificaciones deben confirmarse vía telefónica e incluso por escrito. No simplemente con un correo electrónico. Esto aplica para situaciones inusuales tales como cambios de cuentas bancarias para efectuar pagos o consignaciones, o beneficiarios de pagos.

Mantener registros actualizados de proveedores y terceros:

Es importante mantener información actualizada de los proveedores y terceros con quienes se mantienen relaciones comerciales. Los nombres de los responsables, beneficiarios, teléfonos, direcciones y correos electrónicos deben confirmarse antes de hacer pagos.

Niveles de autorización y aprobación:

Las operaciones de tesorería requieren diferentes niveles de autorización para su ejecución. Mientras más altos sean los montos, los controles deben ser más robustos y de aplicación rigurosa.

Confirmación de operaciones:

Muchos de los fraudes se descubren cuando el proveedor o tercero reclama no haber recibido un pago. Una simple confirmación, una vez efectuada la operación de pago o transferencia, contribuye a evidenciar si los pagos se efectuaron correctamente, por los conceptos y valores esperados.

Otras medidas, respecto del contenido de los mensajes de correo electrónico que deben tenerse en cuenta, son las siguientes:

  • Evitar abrir enlaces o links incluidos en los mensajes de correo. Debe ingresarse directamente al sitio web.
  • Las entidades financieras no solicitan información confidencial (como usuario, contraseña, tarjeta, PIN, etc.) mediante mensajes de correo electrónico.
  • Verificar si realmente se está ingresando al sitio original del proveedor o tercero. Normalmente la dirección web de la página deberá comenzar con https y no http, como es la costumbre. La S final, indica que se está navegando por una página web segura.
  • En caso de dudas sobre la legitimidad de un correo, hay que comunicarse por teléfono a la compañía a un número conocido de antemano. No se deben emplear número diferentes, que pueden venir en los mensajes recibidos.
  • Resulta recomendable verificar todos los cargos que se hacen a las cuentas o tarjetas de crédito para detectar cualquier actividad inusual.
  • Usar antivirus y firewall. Estas aplicaciones pueden detectar correos con virus o conexiones entrantes/salientes no autorizadas o sospechosas.

 

C.P. Iván Rodríguez -           

Auditor y Consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, Diplomado en Gerencia de la Calidad, Contador Público de la Pontificia Universidad Javeriana, con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool

Bogotá D.C, Colombia


Regístrese para que pueda comentar este documento

Auditool.org

Como miembro de Auditool accedes a Cursos Virtuales de Auditoría y Control Interno CPE, y a una completa Caja de Herramientas de Auditoría, permitiendo mejorar las habilidades de los Auditores, ahorrando tiempo y recursos, y creando y protegiendo valor en las organizaciones.

📰 SUSCRÍBETE EN NUESTRO BOLETÍN

Mantente actualizado de lo que pasa en el mundo de la Auditoría y el Control Interno.

 

lateralG3.2