Mega resumen

La informática forense: no es otra cosa que la recopilación de información en un sistema informático, la cual
tiene como finalidad el esclarecimiento de un suceso.
• Esta compromete tanto al hardware como al software, y estructuras como topologías de red y el ambiente
en donde se desarrolla.
• Para la misma nos valemos de distintas herramientas, siendo sin duda la más importante el conocimiento y
le experiencia que tengamos como auditores de seguridad, ethical hacker o asesor de seguridad informática.
Puntos a Tener en cuenta
• Tener un panorama claro de por que estamos auditando.
• Mantener la escena del crimen lo más inalterable posible.
• Tomar todos los recaudos necesarios para manipular la información.
• De ser posible una vez congelado el ambiente, trabajar en nuestro laboratorio forense y nunca en el lugar
de los hechos.
• El trabajo de un investigador forense es necesario para ofrecer un punto de partida fundamental para los
investigadores policiales, ofreciéndoles pistas sólidas, así como pruebas para su uso posterior.
Escenarios Posibles de
Intrusión
Detectar un ataque informático.
1- Objetivo de los atacantes.
2- Método de ataque y posibles fallas explotadas.
3- Acciones cometidas en caso de un acceso.
4- Modificación de registros y plantado de rootkit o programas espías, keyloguer, sniffer, script, etc.
5- Daños ocasionados según el acceso y posibles instrucciones por puertas traseras.
6- Daños colaterales
7- Daños económicos, robo de información espionaje informático, acciones ilícitas, maquinas zombis,
ataques a otras partes de la red, etc.
Escenario Posible de Borrados de Datos
• Lugar donde fueron borrados los datos
• Que tipo de datos fueron borrados o adulterados
• Quien produjo la acción y que objetivos persigue
• Métodos usados para el Borrado de información
• Tiempo en que se produjo el borrado o adulteración de los mismos.
• Posible recuperación de los mismo en caso de que sea factible.
• Daños Ocasionados y Daños colaterales.
• Problemas Legales
Otros puntos a tener en cuenta según nuestra experiencia
Que no debe hacer el auditor forense:
A- Auditar el sistema para presentar formas de intrusión (¿confuso no?)
B- No garantiza la seguridad de los sistemas
C- No garantiza la captura de los atacantes
D- No garantiza la recuperación de la información
E- Se manejara con hipótesis lógicas y comprobables
F- Nunca dará por supuesto lo ocurrido
Congelando el Escenario
• Hay que lograr no realizar ninguna modificación de los hechos.
• Determinar el área de impacto

• Hacer imagen por triplicado de los discos afectados
• De ser posible dejar los discos originales fuera del servicio, lo mismo con los posibles afectados.
• Revisar todo el hardware y sus accesos físicos.
• Tomar registros de toda la topología de red, log de routers, tablas ARP, sistemas IDS y Firewalls, etc.
Y que pasa con la intrusión Física?
• Live CD
• Ophcrack
• Backtrack
• Wifislax
• Knoppix
• Ubuntu
• Hacking9
• RIPLinux
• Pmagic
• Cualquier distro Live CD o pendriver boot
Herramientas que usaremos
• Comandos de la Shell de GNU-Linux
• RIPLinux : Live CD para recuperar datos en GNU-linux
• Pmagic: Live CD para recuperación de datos en GNU-Linux
• Sleuthkit: Colección de líneas de comandos básicos de Unix y herramientas de análisis que te dan la
posibilidad de analizar archivos NTFS, FAT, FFS, EXT2FS y EXT3FS
• Chkrootkit: detector de rootkits en GNU-linux
• Ree: (ROM extensión extractor) escanea tu memoria (/dev/mem) en busca de extensiones ROM, y las
transforma en archivos. Las extensiones ROM son las de la BIOS que residen en el chip de tu ordenador
FireCat: Extensión de seguridad para Firefox
• Rda: Herramienta forense para adquirir datos remotamente
• Mac-Robber: obtiene los tiempos de modificación, acceso y creación de una serie de archivos para realizar
análisis forense.
• Testdisk: Herramientas para chequear y recuperar particiones del tipo: FAT12 FAT16 FAT32 - Linux - Linux
SWAP (version 1 and 2) - NTFS (Windows NT) - BeFS (BeOS) - UFS (BSD) - Netware – ReiserFS
• Autopsy: Herramienta grafica para recuperar archivos .
• Snare: Poderoso sistema de análisis y de ejecución de informes de intrusión
• Fatback : recuperador de particiones FAT
• Fenris: simplifica la búsqueda de bugs y las auditorías de seguridad
• Aide: Te indica si hay archivos modificados y cuáles son. Se usa mucho en honey pots (sitios
aparentemente más frágiles ante invasiones, que captan la atención de los hackers, y que son en realidad
una trampa para atraparlos)
• Di: Muestra todo lo que tu comando hace e informa de la capacidad del disco en el formato que quieras
• Memfetch: Utilidad para descargar la memoria sin comprometer el
El análisis forense en un sistema informático es una ciencia moderna que permite reconstruir lo que ha
sucedido en un sistema tras un incidente de seguridad. Este análisis puede determinar quién, desde dónde,
cómo, cuándo y qué acciones ha llevado a cabo un intruso en los sistemas afectados por un incidente de
seguridad.

El análisis forense es un área perteneciente al ámbito de la seguridad informática surgida a raíz del
incremento de los diferentes incidentes de seguridad. En el análisis forense se realiza un análisis posterior de
los incidentes de seguridad, mediante el cual se trata de reconstruir como se ha penetrado o vulnerado en el
sistema. Por tanto, cuando se está realizando un análisis forense se intenta responder a las siguientes
preguntas:
• ¿Quién ha realizado el ataque?
• ¿Cómo se realizo?
• ¿Qué vulnerabilidades se han explotado?
• ¿Qué hizo el intruso una vez que accedió al sistema?
• Etc.
El área de la ciencia forense es la que más ha evolucionado dentro de la seguridad, ya que (tal y como se
muestra en las siguientes figuras) los incidentes de seguridad han incrementado en los últimos años.
Además, los ataques son diferentes y por tanto hay que actualizar las técnicas de análisis en cada momento.
El procedimiento utilizado para llevar a cabo un análisis forense es el siguiente:
• Estudio preliminar. En esta fase se realiza un estudio inicial mediante entrevistas y documentación
entregada por el cliente con el objetivo de tener una idea inicial del problema que nos vamos a encontrar.
• Adquisición de datos. Se realiza una obtención de los datos e informaciones esenciales para la
investigación. Se duplican o clonan los dispositivos implicados para un posterior análisis. En esta fase habrá
que tener mucho cuidado en la adquisición de los datos puesto que cabe la posibilidad de incumplir los
derechos fundamentales del atacante.
• Análisis e investigación. Se realiza un estudio con los datos adquiridos en la fase anterior. En esta fase
también habrá que tener mucho cuidado puesto que cabe la posibilidad de incumplir los derechos
fundamentales del atacante.
• Realización del informe. En esta fase se elabora el informe que será remitido a la dirección de la
organización o empresa. Posteriormente, se podrá usar para acompañar la denuncia que realicemos a la
autoridad competente.
La auditoría forense ha sido definida como
“una auditoría especializada en descubrir, divulgar y atestar sobre fraudes y delitos en el desarrollo de las
funciones públicas y privadas; es así como se abre un amplio espacio al campo de la investigación, que irá
más allá de la simple comprobación de fraudes y delitos.”3 Indagando en diversas fuentes, podemos asumir
que este tipo de auditoría, reúne conocimientos legales, en operaciones fraudulentas y aplicaciones
metodológicas de procedimientos de auditoría.
AUDITORÍA FORENSE: ¿QUIÉNES DEMANDAN
ESTE SERVICIO?
• Entidades de carácter gubernamental, según sea la vulnerabilidad de sus sistemas de gestión y control.
• Entidades Financieras que dada la naturaleza de sus transacciones están expuestas a un riesgo mayor de
fraudes.
• Entidades de carácter público como son las compañías que cotizan sus valores en bolsas de comercio,
cuyos accionistas pueden estar expuestos en sus intereses, especialmente aquellos accionistas minoritarios
que no tienen ingerencia en las decisiones de la compañía.
• Las compañías financieras son las que han trabajado con mayor recurrencia el tema, en asociación con las
entidades reguladoras, dado los efectos perversos que este tipo de actos trae como consecuencia, no tan
solo a las entidades en particular, sino al país que recibe el efecto.

OBJETIVOS DE LA AUDITORÍA FORENSE
Lo primero es tener claridad respecto al objetivo de la auditoría forense: esta actividad se justifica, en la
medida que signifique un aporte, en los procesos administrativos, tanto externos como internos.
Por lo tanto, nuestra visión es que es una evaluación de los procesos de prevención de fraudes y actos
ilícitos, que dañen la propiedad del estado o de entes privados, con la finalidad de velar por el interés
público.
Las características y requisitos que debe reunir el Auditor Forense deben ser las de un experto o sujeto
investigador, capaz de realizar peritajes a hechos acontecidos y de realizar auditorías que permitan anticipar
la comisión de delitos o fraudes. El Auditor Forense debe un profesional imparcial, asignado al proceso como
una persona que no reviste el carácter de parte involucrada, resguardando principalmente su
independencia.
El auditor debe tener la competencia y la preparación de un experto, ya que de su opinión se tomarán
decisiones y su informe debe tener la validez para impartir justicia. La condición básica para el
aseguramiento y valoración del resultado
INFORMÁTICA FORENSE
La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas para luego
analizarlas. La tecnología, en caso de análisis forense en sistemas informáticos, son aplicaciones que hacen
un papel de suma importancia en recaudar la información y pruebas necesarias. La escena del crimen es el
computador y la red a la cual éste está conectado. Gran cantidad de documentos son elaborados
digitalmente en computadores para ser a continuación impresos.
Las nuevas leyes sobre delitos informáticos y la de firmas electrónicas y mensajes de datos abren
procesalmente y definitivamente los medios probatorios informáticos. Las operaciones comerciales tienden
claramente a reducir costos y ampliar mercados a través de las redes informáticas.
Es posible investigar (aún cuando internet permite el anonimato y el uso de nombres falsos) quien es el
dueño de sitios web, quienes son los autores de determinados artículos y otros documentos enviados a
través de redes o publicados en la misma. El rastreo depende en sí de quien y como realizó el ataque o
cualquier otra acción, es posible buscar atacantes exteriores de sistemas e incluso se conocen casos donde
se ha determinado la autoría de virus.
Son igualmente investigables las modificaciones, alteraciones y otros manejos dolosos de bases de datos de
redes internas o externas, así como de cualquier sistemas de redes, ataques internos.
La destrucción de datos y la manipulación de los mismos también pueden rastrearse. Los hábitos de los
usuarios de los computadores y las actividades realizadas pueden ayudar a la reconstrucción de hechos,
siendo posible saber de todas las actividades realizadas en un computador determinado.
El objetivo de un análisis forense informático es realizar un proceso de búsqueda detallada y minuciosa para
reconstruir a través de todos los medios el log de acontecimientos que tuvieron lugar desde el mismo
instante cuando el sistema estuvo en su estado integro hasta el momento de detección de un estado
comprometedor.
Esa labor debe ser llevada acabo con máxima cautela y de forma detallada, asegurándose que se conserva
intacta, en la medida posible, la información contenida en el disco de un sistema comprometido, de forma

similar que los investigadores policiales intentan mantener la escena del crimen intacta, hasta que se
recogen todas las pruebas posibles.
“informática o cómputo forense es un conjunto de técnicas especializadas que tiene como finalidad la
reconstrucción de hechos pasados basados en los datos recolectados, para lo cual se procesa la información
que pueda ser usada como evidencia en un equipo de cómputo”.
:"¿Cuánto se puede tardar en reunir las suficientes pistas que den con el autor de un ataque?
Es una pregunta complicada de responder, pues muchas veces el informático forense debe prepararse para
fallar en la identificar la persona real que cometió el ataque. Pues la versatilidad que ofrece Internet para
enmascarar direcciones IP, correos electrónicos, entre otros aspectos, sugiere un gran conocimiento técnico
y paciencia por parte de los atacantes, los cuales también consideran estrategias "anti-forenses" que limiten
las investigaciones y la efectividad de las mismas. Luego, la recolección de pista puede ser demorada,
algunos casos pueden llevar años en esta labor."
Las herramientas que utilizan los peritos forenses en materia de cómputo para dar con los intrusos, y saber a
ciencia cierta qué hicieron en el sistema, se han desarrollado al paso del tiempo, para que nos ayuden en
cuestiones de velocidad y faciliten identificar lo que realmente le pasó al sistema y qué es lo que le puede
suceder, en su contra parte igualmente se han desarrollado herramientas bastantes sofisticadas en contra
de los análisis forenses (herramientas y técnicas que intentan no dejar rastros, camuflarlos o borrarlos, de tal
manera que se dificulte una posterior investigación.)
Sí el sistema, por parte del administrador, fue forzado a seguir funcionando, eliminando las posibles
vulnerabilidades o cualquier otra supuesta vía de acceso al servidor, la investigación forense no podrá seguir
el rumbo correcto ya que:
1. Se eliminaría cualquier posibilidad de persecución del intruso en un futuro ya que se modifica la "escena
del crimen" y no se podría calcular los daños estimados con un grado elevado de certeza.
2. Hay muchas posibilidades de que se le paso algo importante por alto al administrador y el intruso (o
intrusos) siguen teniendo acceso al sistema. Por lo tanto es mejor sufrir un "downtime" de red, mientras que
se realiza el análisis forense del sistema.
Se tiene que establecer una prioridad entre:
(a) Funcionamiento inmediato, teniendo presente que las huellas dejadas por el/los intruso(s) pueden
haberse eliminado por descuido del administrador y su equipo, y que el servidor puede seguir teniendo
puertas traseras bien ocultas. Esta opción permite estar operativo en poco tiempo.
(b) Investigación forense detallada. Esta opción supone un mayor tiempo de permanencia offline sí no
existen planes de contingencia y procedimientos para el backup del servicio.
Bases de la Informática Forense:
1. Experticias, Auditoria e Inspecciones en Computadores y Páginas Web.
2. Ubicación de origen de correos anónimos y archivos anexos.
3. Determinación de propietarios de Dominios .com .net .org y otros.
4. Pruebas de violación de derechos de autor.

5. Control preventivo y restricción de uso de computadores e Internet.
6. Protección de información y derechos de autor.
7. Recuperación de data y archivos borrados intencionalmente o por virus.
8. Recuperación y descifrado de las claves.
Al realizar un análisis de informática forense es necesario tomar notas de lo que se hace con el disco duro, y
a que hora, almacenándolo en una ubicación segura como por ejemplo una caja fuerte. Es recomendable
que siempre que se trabaje con el medio original esté acompañado por un colega, para que conste a los
efectos legales y el testimonio pueda ser confirmado por alguien con un nivel de conocimientos similar.
Las copias deben ser hechas bit-por-bit, es decir será necesario hacer imágenes del disco. La investigación
debe ser llevada sobre una copia y nunca sobre el disco original. Se debe hacer tres copias del disco duro
original. Sobre todas las copias y original se debe llevar acabo una verificación criptográfica - un checksum.
En lo posible realizar dumps de memoria y almacenarlos al igual que los discos.
Es importante todos los hechos pertinentes al caso durante la preparación, recuperación y análisis de las
pruebas sobre un ataque sean anotados para poder desarrollar un informe detallado de incidencia que se
debe preparar una vez terminado el análisis. Este documento deberá servir como una prueba del incidente o
compromiso. Siempre que se realiza cualquier apunte al cuaderno, el asistente debe tener completo
conocimiento y entendimiento de lo que ha sido apuntado.
Antes de apagar el sistema, será útil recoger algunos ejemplos de aquella información que posiblemente no
ha sido cambiada por los intrusos, como la organización de sistema de ficheros logs, el nombre del host, su
dirección IP del fichero e información de algunos dispositivos.
El análisis de la comunicación de datos es realmente importante allí se trabajaran en dos actividades:
1. Intrusión en una red de computadoras o mal uso de la misma.
2. Interceptación de datos.
La intrusión en una red de computadoras o mal uso de la misma es la actividad de la informática forense
principal cuando el análisis se hace sobre estructuras de esta naturaleza. Consiste en las funciones
siguientes:
a) Detección de la intrusión.
b) Detectar la evidencia, capturarla y preservarla; y
c) Reconstrucción de la actividad específica o del hecho en sí.
El descubrimiento de la intrusión generalmente involucra la aplicación de software especializado y en
algunos casos hardware, para supervisar la comunicación de los datos y conexiones a fin de identificar y
aislar un comportamiento potencialmente ilegal.
Este comportamiento incluye el acceso no autorizado, modificación del sistema en forma remota y el
monitoreo no autorizado de paquetes de datos.
La captura de la evidencia y su preservación, generalmente tiene lugar después del descubrimiento de una
intrusión o un comportamiento anormal, para que la actividad anormal o sospechosa pueda conservarse
para el posterior análisis.
La fase final, la reconstrucción de la intrusión o comportamiento anormal, permite un examen completo de
todos los datos recogidos durante la captura de la evidencia.

Para llevar a cabo con éxito estas funciones, el investigador forense debe tener experiencia en comunicación
de datos y el apoyo de ingenieros y/o técnicos de software.
a) Antes de realizar un análisis se debe tener en cuenta la siguiente información:
a) sistema operativo afectado.
b) inventario de software instalado en el equipo
c) tipo de hardware del equipo
d) accesorios y/o periféricos conectados al equipo
e) si posee firewall
f) si esta en el ámbito del DMZ (Zona desmilitarizada)
g) conexión a internet
h) configuración
i) parches y/o actualizaciones de software
j) políticas de seguridad implementadas
k) forma de almacenamiento de la información (cifrada o no)
l) personas con permisos de acceso al equipo
m) el pc esta dentro del DMZ
n) existe IDS
o) cuantos equipos en red
Informática Forense
Control legal. A los fines de contar con asesoramiento y manejo de terminologías, leyes y normas vigentes
que el perito no está habitualmente acostumbrado a utilizar, sumado como beneficio que permitiría
interactuar con los órganos jurídicos intervinientes y lograr un entendimiento de las partes, perito fiscal o
juez para el logro de los objetivos propuestos por las partes
Calidad. Sumado al control legal como la forma de ser orientada a la mejora continua de las técnicas,
productos, bienes o servicios, sistemas y procesos del modelo utilizado, con el propósito de crear valor para
sus beneficiarios, en este caso la Justicia y la propia actividad realizada.
Gestión. Coordinar todos los recursos disponibles para conseguir determinados objetivos. Implica amplias y
fuertes interacciones fundamentales
La definición de informática forense
“Es la aplicación de técnicas científicas y analíticas especializadas a infraestructura tecnológica que permite
identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal”.
Ampliaría diciendo que es:
“Una ciencia que busca reproducir científicamente con una metodología estricta de los hechos acontecidos y
su correlación para determinar el grado de impacto, y posteriormente establecer en coordinación con otros
entes intervinientes, mecanismos tendientes a evitar nuevamente su ocurrencia, que van desde el marco
normativo hasta la utilización de mecanismos técnicos”.
Es un método científico porque supone la adquisición de nuevos conocimientos, mediante el estudio de la
evidencia observable y medible, aplicando un razonamiento lógico, elaborando modelos e hipótesis y
corrigiendo o mejorando estas últimas según se obtiene más evidencia.

Además, los resultados deben ser objetivos e imparciales, lo que implica un alto grado de profesionalidad
para con la tarea por realizar. La metodología aplicada debe ser conocida, sabida y practicada, de forma que
otros investigadores, utilizando los mismos métodos, puedan llegar a las mismas conclusiones. Si esto no se
logra, la posibilidad de la pérdida de la evidencia con valor probatorio es inminente y todo lo que con esto
conlleva.
La forensia informática deberá permitir responder preguntas tales como: › ¿Cuándo? › ¿Quién? › ¿Cómo? ›
¿Dónde? › ¿Para qué? › ¿Por qué?
Preservar el lugar del hecho y evitar la contaminación de evidencias
No solo tiene como finalidad la preservación de la evidencia computacional por así decir, sino también de
todo lo que lo rodea en función de que pueden existir evidencias inherentes a otros campos que no
podemos desconocer, y por ende contaminarlas, con lo cual se debe trabajar de manera mancomunada,
íntegra y proactiva, lo que nos lleva a dividir la evidencia dentro del lugar del hecho en:
■ Primarias
Inherentes a la actividad pericial específica dentro del campo de la informática.
A su vez la subdividiremos en:
› Evidencia electrónica: hardware, material del sistema informático. › Evidencia digital: los datos contenidos
dentro de la evidencia electrónica.
Para generalizar, estos dos tipos de evidencias mencionadas aquí serán llamadas “evidencia computacional”.
■ Secundarias
Todas aquellas que no tengan relación con el campo de la informática. De aquí que el trabajo del equipo de
respuesta vital deberá tomar conciencia del resguardo, manejo y preservación de las evidencias ajenas a él,
no pudiendo aludir desconocimiento, con el fin de evitar la alteración de éstas; por ende deberá
interrelacionar con peritos de otras especialidades.
Una vez que ya se resguardó el lugar del hecho y se determinó cuál es el campo de acción y las medidas del
caso, se deberá tratar a éstas de la siguiente manera:
1. Con acciones metódicas
El equipo de respuesta vital debe ser responsable de sus propios procesos, ya que deberá, no solo
documentar cada paso de las actividades realizadas, para que cualquiera pueda validar y revisar cada uno de
los procesos con los mismos métodos científicos, reproduciendo sus resultados y obtenidos en forma
unívoca. No olvidar documentar todas las actividades que se efectúen en presencia de testigos que avalen
las actividades realizadas, dado que esto podrá ser limitante a la hora de su presentación ante algún estrado
por las actividades técnico legales concretadas y que será la actividad del integrante del equipo con perfil
legal del cumplimiento de los lineamientos legales.
2. Originar o controlar la cadena de reguardo/custodia
Este documento no es más que una hoja de ruta donde se documenta quién, cuándo y dónde se manipuló la
evidencia. Esto permitirá saber cómo se custodió la evidencia y dar cuenta de una administración adecuada
de la prueba y que detallaremos más adelante como actividad esencial de equipo.

Fuentes de la evidencia
La evidencia digital es única, si la comparamos con otras formas de evidencia documental. Recordemos que
en un primer momento la evidencia digital posee las siguientes características:
› Volátil. › Anónima. › Duplicable. › Alterable y modificable. › Eliminable.
Como vemos, la evidencia digital es frágil, pero existen mecanismos como la “Certificación matemática de la
prueba” que garantizará su integridad y autenticidad, haciéndola lo suficientemente robusta y con valor
legal.
La RFC 3227 establece pautas para la recolección de evidencia por su grado de volatilidad, lo que resulta en
una buena práctica metodológica por seguir para la preservación y extracción de evidencia:
› Registros y contenidos del caché.
› Tabla de enrutamiento, caché ARP, proceso, núcleo memoria.
› Archivos temporales.
› Estado de los procesos en ejecución.
› Disco rígidos y otros.
› Registro y supervisión remota de datos, de interés para el sistema en cuestión.
› Configuración física, la topología de la red.
› Los medios de comunicación.
Esta evidencia debe cumplir con algunos preceptos para poder ser presentada como prueba en un juicio, ya
que sin algunos de estos puntos carecerá de valor probatorio.
■ Admisible
Que tenga valor apoyado en el marco técnico legal, mostrando que la evidencia ha sido recolectada y
registrada en el lugar y las condiciones descriptas sin modificaciones al original.
■ Auténtica
Debe garantizarse para que sea irrefutable como prueba legal.
■ Completa
Debe poder reproducir los acontecimientos que ocurrieron previos a los hechos desde el punto de vista
técnico, sin juicios o perspectivas particulares. Con respecto a este punto, el equipo no deberá señalar o
indicar a la persona en sí, sino solo los hechos estrictamente técnicos legales.
■ Confiable
Nada debe dejarse librado al azar ni dentro del marco legal vigente ni el trato tecnológico desde el punto de
vista metodológico, ya que otorgara una autenticidad y veracidad de la prueba recabada, que con
posterioridad se analizará y presentará.
■ Creíble
Debe ser lo suficientemente interpretada por cualquier persona, sin dejar dudas sobre la calidad técnico
legal utilizado. Aquí es donde dividiremos el informe del equipo en dos partes, una para lectura de personas
sin relación con el campo tecnológico y otra, con todos los datos técnicos necesarios para su reproducción
de un tercero.
Flujo de la investigación
Con lo que se expuso hasta el momento partiremos con el flujo de la investigación. Ésta es una metodología
que se inicia una vez conocido el incidente, que deberá ser el disparador para la intervención de los que
venimos denominando equipo de respuesta vital. Este equipo, como mencionamos anteriormente, deberá
estar conformado no solo por personal técnico capaz de realizar una estricta metodología técnica, según la
situación, con el fin de preservar la evidencia, sino que también deberá estar integrado por personal con un
perfil jurídico legal, que permita otorgar un control bajo este campo.

Identificado el incidente o hecho
Se tomará en cuenta una serie de pautas que se refieren a la recopilación de evidencias, donde entra la
actividad del equipo de respuesta vital.
■ Requerimiento para la intervención del equipo de respuesta vital
Ya sea por orden judicial o interna de una empresa u organismo, este documento avalará el inicio de las
actividades del equipo y contendrá los puntos que originarán el flujo de la investigación, teniendo en cuenta
los aspectos legales para su realización y en lo técnico solo se limitará a lo estrictamente solicitado.
Pudiendo contener datos como:
■ Tipo de hecho.
■ Fecha y hora del hecho.
■ Información técnica de los equipos afectados, acompañado, en lo posible, de especificaciones (capacidad
de disco, RAM, sistema operativo, etc.).
■ Responsable o dueño del equipo.
■ Y todo otro dato que se considere de interés, recordando que no deberá ser ambiguo sino algo puntual y
acotado.
■ Acuerdo de confidencialidad
Éste tiene como fin, según el caso, las garantías de la no divulgación y del tratamiento de la evidencia desde
el equipo hacia terceros. Recuérdese que la actividad solo se limita a lo estipulado en los requerimientos.
■ Asegurar la evidencia
Tendiente a asegurar los procesos técnicos legales llevando a cabo la conducción de la forensia con una
estricta metodología científico y legal.
■ Identificar la evidencia
■ Por su prioridad: teniendo en cuenta que el equipo podrá considerar elementos más importantes
que otros en su proceso metodológico de recolección de evidencias.
■ Tipo de dispositivos: he aquí el tipo de evidencia electrónica o digital y su forma de tratamiento.
■ Modo de almacenamiento:
› Volátiles: aquellas que se perderán una vez apagado el equipo.
› No volátiles: medios físicos de almacenamiento, discos duros, pendrives, etc.
Una buena práctica sería tener una lista de elementos y su tratamiento para tener una identificación
metodológica sin dejarla librada al azar.
Metodología pericial
Esta metodología que se presenta para el equipo de respuesta vital tiene como fin establecer una serie de
pasos mínimos en un ciclo en el que no puede obviarse ninguno ya que, de realizarlo, no se llegará a la meta
esperada para presentar la evidencia recabada como prueba irrefutable ante un juicio.

Preservar y extraer
Una vez recabada la información necesaria y analizada la situación, el equipo evaluará los aspectos legales a
tener en cuenta y la metodología científica por seguir, tomando en cuenta los aspectos técnicos legales. Hay
que considerar:
Aspectos técnicos
› La evidencia electrónica en todas sus formas.
› La evidencia digital y el grado de volatilidad de la información.
› Una metodología de recolección de evidencia podrá ser el método de espiral centrado desde el incidente
extendiéndose hasta los límites judiciales establecidos en el punto de la pericia que posteriormente se
volcará en un plano para su presentación.
› La evidencia no solo se limita a lo electrónico o digital, ya que se podrán introducir documentos escritos o
elementos contenidos en las traseadoras de papel, etc.
› La documentación de todas las actividades realizadas, ya sea a través de escritos, fotografías, videos, etc.,
cuyo fin es la reproducibilidad.
› La recolección de la información on line u off line, según el escenario que se plantee en el momento de la
actividad.
› Podrán surgir nuevas fuentes de evidencia que no se tomaron en cuenta en el origen, lo cual deberá ser
solicitado adecuadamente para la realización de la presente actividad.
› La preservación implica aspectos técnicos relativos a la integridad de la evidencia original. La utilización del
hash (MD5, SHA-1) es de gran ayuda, y además existen múltiples herramientas forenses que permiten la
copia bit a bit y generan automáticamente en hash la información recolectada.
› El soporte donde se preserva la evidencia deberá estar libre de toda información que la corrompa o
contamine, ya que ello puede hacerle perder su valor probatorio.
› Etiquetar numéricamente cada copia de la evidencia sobre el propio medio de almacenamiento con la
fecha y hora. Con posterioridad se volcará dicha numeración en la cadena de resguardo. › Una vez extraída,
efectuar la verificación de la copia realizada.
Aspectos legales
› Leyes y normas vigentes.
› Inicio de la cadena de resguardo, que contendrá:
› Dónde, cuándo y quién recabó o examinó la evidencia.
› Quién estuvo custodiando la evidencia, durante cuánto tiempo, dónde se almacenó y bajo qué condiciones.
› Esto otorga a la evidencia una seguridad desde el punto de vista de que se restrinja la manipulación de
personal no autorizado.
› La presencia de los testigos que corroboren las actividades realizadas.

› Que el equipo realice, en todos los casos, solo lo especificado estrictamente en los puntos de la pericia,
teniendo en cuenta que el equipo puede asesorar a terceros sobre la necesidad de ampliar la búsqueda y,
obtenida la autorización por escrito, la realización de la recolección de la información solicitada. Recuerde
que el Equipo de respuesta vital es un elemento de asesoramiento técnico legal dentro de los
requerimientos solicitados, indistintamente de quién haya originado los requerimientos.
Identificación
La colocaremos como una buena práctica que puede estar contenida tanto en la etapa de análisis como en la
etapa anterior. Aquí, tomada por separado, su implementación será según el criterio y la metodología a
utilizar pero que no podrá obviarse debido a su importancia.

Esta metodología basada en lista de procedimientos por efectuar es solo orientativa para la realización de las
actividades del equipo.
Analizar los datos recabados
› Una tarea clave a la hora del análisis es la localización de la información específica vinculada con los
requerimientos. Esta actividad, en muchos casos, requerirá de un trabajo multidisciplinario entre el equipo
de respuesta vital y quien originó la solicitud de la intervención del equipo. Es aquí donde el hombre con el
perfil legal se interrelacionará con éste ya que podrá canalizar mejor los requerimientos técnicos legales
desde el perito al tercero y viceversa, generando una mejora de los datos recabados para su presentación.
› Es importante mencionar que el análisis de la información siempre se realizará sobre copias, nunca sobre
originales que se tomaron durante la recolección de la información.
› En este análisis no solo se seleccionará la o las herramientas forenses más adecuadas sino la metodología
científica por utilizar, para colocar los hechos en una línea temporal y una correcta extracción de la
información y posterior análisis.
› Del presente análisis podrán surgir nuevas fuentes de evidencia por analizar, que no se tuvieron en cuenta
en las etapas anteriores, momento en el cual el equipo deberá solicitar su correspondiente autorización para
la realización de las actividades necesarias para su análisis.

Un tema que no podía dejar fuera del análisis de datos es la protección de la intimidad de los datos
recabados en esta etapa. Es un aspecto para tener en cuenta, en todos los casos, por la posibilidad de la
existencia de información confidencial, ajena al caso o no, entre la evidencia recolectada. Es ésta la
importancia de la confidencialidad anteriormente mencionada.
› ¿Qué medidas se toman para proteger esa información?
› ¿Quién tiene acceso a ella?
› La comisión de una infracción o delito no implica la suspensión de las leyes y normas sobre protección a la
intimidad y la privacidad de datos de carácter personal.
Esto hace que la actividad no solo se limite a lo solicitado por un tercero ante la intervención del equipo, sino
también a la ética profesional, recordando que, una vez finalizados los análisis, se debe poner a disposición
toda la evidencia recolectada, sin excepción.

Presentar
Informe técnico › En esta etapa se elabora el informe con los resultados obtenidos en las etapas anteriores.
Es aquí donde el perito solo establecerá los hechos acontecidos desde el punto de vista técnico sin arrojar
ninguna opinión personal al respecto, solo lo hará desde y respaldado por la metodología antes descripta. Su
presentación deberá contar con una estructura básica como:
› Antecedentes del hecho.
› Documentos recopilados y examinados.
› Inspecciones realizadas.
› Entornos del análisis.
› Descripción de la metodología utilizada para la recolección de la evidencia.
› Descripción de las herramientas utilizadas.
› Descripción de los hallazgos.
› Cronología de los hechos.
› Conclusiones.
En estas conclusiones se establecerán los hechos acontecidos teniendo en cuenta las evidencias recabadas.
Si fuera el caso, como herramienta de la seguridad informática, se establecerá cuáles son los datos que se
deben eliminar y algunas propuestas básicas para hacer frente a futuros incidentes.
› Anexos
Donde estará todo lo referente a la faz técnica, para que un tercero logre reproducir las actividades
realizadas por éste, que van desde la autenticación del material informático, las herramientas forenses
utilizadas, los métodos de recolección de la información y pasos realizados durante la recolección, todo esto
colocado cronológicamente.
› Una inadecuada presentación puede conllevar a falsas expectativas o interpretaciones de los hechos, con lo
cual, se lo debe presentar con un lenguaje entendible sin tecnicismos ya que éstos estarán volcados en los
anexos.
Informe ejecutivo
Este informe tiene como finalidad un resumen del análisis efectuado, que se realizará junto con el técnico
legal a fin de lograr una fácil interpretación por las autoridades judiciales o personal no técnico. Debe ser lo
más preciso y escueto posible y tendrá que contar con ciertos puntos mínimos, a saber:
› Introducción: se volcará el objetivo del análisis y se colocará la información de la evidencia proporcionada.
› Análisis: descripción breve del entorno de trabajo y las herramientas utilizadas y la cantidad de tiempo
empleado.
› Sumario del hecho.
› Resumen del hecho tras el análisis de la evidencia.
› Principales conclusiones a los que se arribó tras el proceso de análisis. Aquí es donde se ve el aporte de la
forensia a la actividad de la seguridad informática
› Descripción del incidente.
› Solución del incidente.
› Recomendaciones finales del hecho:
› Aquí se volcará la propuesta de distintas barreras tendientes a evitar nuevos incidentes de seguridad.
Prueba pericial
En esta etapa podremos auditar los procedimientos realizados y establecer ya las pruebas periciales
tendientes a la generación de disparadores para los distintos campos de interés de la presente prueba.
Sobre la base de lo recolectado, la reconstrucción podrá realizarse en tres formas
› Reconstrucción relacional
Muestra la relación de los objetos con otros objetos y su interacción.
› Reconstrucción funcional. Se hace marcando la función de cada objeto dentro del lugar del hecho
mostrando cómo operan u operaron y son utilizados o fueron utilizados.
› Reconstrucción temporal.

Ubicar los indicios en una línea de tiempo desde el momento de su conocimiento. Al plasmar esta actividad,
deberá considerarse la colocación de las tres modalidades de reconstrucción, ya que según sea el caso podrá
ser disparador para otras actividades que no son inherentes al equipo y que el tercero visualice más
claramente la actividad desarrollada.
Conclusiones
El punto más importante es saber que la informática forense con un control legal y una calidad de gestión
tecnológica deberá ser abordada más seriamente como una disciplina auxiliar de la justicia moderna, para lo
cual la formación técnica con un alto grado de ética profesional, y personas con perfil legal especialistas en
este campo, es algo que no debemos dejar librado al azar. Los delitos informáticos van en constante avance
y de aquí la necesidad de a contar con leyes, normas y un riguroso método científico que permita utilizar la
evidencia computacional en un proceso legal. Presentar hasta aquí lo expuesto solo tiene como finalidad dar
a conocer una de las tantas formas en la que se puede trabajar, ya que la experiencia de cada uno llevará a
adaptar la mejor metodología según el entorno donde se desenvuelva la actividad y con ello lograremos que
ésta tenga su uso con el potencial que se posee y se merece para el esclarecimiento de los hechos
y para afianzar la posición dentro de la justicia.
PRINCIPIOS DEONTOLÓGICOS
Son un conjunto de preceptos que establecen los derechos exigibles a aquellos profesionales que ejerciten
una determinada actividad.
La finalidad de los principios deontológicos es incidir en sus comportamientos profesionales estimulando
que estos se ajusten a determinados principios morales que deben servirles de guía.
PRINCIPIOS DEONTOLÓGICOS APLICABLES A LOS AUDITORES INFORMÁTICOS
Estos principios deben concordar con los del resto de profesionales y más con los de quienes cuya actividad
presenten mayores relaciones con la de la auditoria.
Los principios deontológicos son:
PRINCIPIO DE BENEFICIO DEL AUDITADO
La actividad del auditor debe estar en todo momento enfocado a orientar el máximo provecho de su cliente.
Cualquier actitud que anteponga intereses personales del auditor al auditado deberá considerarse como no
ética.
El auditor deberá evitar estar ligado en cualquier forma a intereses de determinadas marcas, productos o
equipos del auditado con los de otros fabricantes.
El auditor deberá abstenerse de recomendar actuaciones innecesarias o que generen riesgos injustificados
para el auditado.
PRINCIPIO DE CALIDAD

En caso de que los medios impidan o dificulten la realización de la auditoria deberá negarse a realizarla
hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus
servicios.
Si el auditor considera conveniente ganar el informe de otros técnicos mas cualificados sobre algún aspecto
que supere su capacitación profesional deberá remitirlo a un especialista para mejor calidad de la auditoria.
PRINCIPIO DE CAPACIDAD
Principio relacionado con el de formación continúa.
El auditor debe estar plenamente capacitado para la realización de la auditoria.
El auditor puede incidir en la toma de decisiones de la mayoría de sus clientes con un elevado grado de
libertad dada la dificultad practica del auditado. Debe ser consciente del alcance de sus conocimientos y de
su capacidad y aptitud para desarrollar la auditoria evitando que una sobreestimación personal pudiera
provocar el incumplimiento parcial o total de la misma.
El auditor deberá procurar que sus conocimientos evolucionen con el desarrollo de las tecnologías de la
información.
PRINCIPIO DE CAUTELA
Sus recomendaciones deben estar basadas en la experiencia. Debe estar al corriente del desarrollo de las
tecnologías de la información e informar al auditado de su evolución. Debe actuar con cierto grado de
humildad evitando dar la impresión de estar al corriente de una información privilegiada.
PRINCIPIO DE COMPORTAMIENTO PROFESIONAL
El auditor deberá actuar conforme a las normas implícitas o explicitas de dignidad de la profesión. Debe
cuidar la moderación de la exposición de sus juicios u opiniones evitando caer en exageraciones o
atemorizaciones y transmitir una imagen de precisión y exactitud en sus comentarios.
El comportamiento profesional exige del auditor una seguridad en sus conocimientos técnicos.
El auditor debe guardar respeto por la política empresarial del auditado.
PRINCIPIO DE CONCENTRACIÓN EN EL TRABAJO
El auditor deberá evitar que el exceso de trabajo supere sus posibilidades de concentración y precisión en
cada una de las tareas.
Deberá calcular las posibles consecuencias de la acumulación de trabajos. Evitar la práctica de ahorro de
esfuerzos basada en la reproducción de partes significativas de conclusiones obtenidos de trabajos
anteriores.

PRINCIPIO DE CONFIANZA
El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de transparencia
en su actividad profesional.
Para que haya confianza se requiere una disposición de dialogo que permita aclarar las dudas por las dos
partes.
Debe adecuar su lenguaje a nivel de comprensión del auditado, si es necesario detallar su explicación
PRINCIPIO DE CRITERIO PROPIO
Este principio está relacionado con el principio de independencia.
El auditor deberá actuar con criterio propio y no permitir que este dependa de otros profesionales aún de
reconocido prestigio.
En caso de que aprecie diferencias de criterio con otros profesionales deberá reflejar dichas diferencias
dejando de manifiesto su criterio.
PRINCIPIO DE ECONOMÍA
El auditor deberá proteger los derechos económicos del auditado evitando generar gastos innecesarios.
Debe procurar evitar retrasos innecesarios en la realización de la auditoria.
Tener en cuenta la economía de medios materiales o humanos.
Debe delimitar de forma concreta el alcance y límites de la auditoría.
Deberá rechazar las ampliaciones de trabajo que no estén directamente relacionados con la auditoria aún a
petición del auditado.
PRINCIPIO DE FORMACIÓN CONTINUA
Este principio, íntimamente ligado al Principio de capacidad y vinculado a la continua evolución de las
tecnologías de la información y las metodologías relacionadas con las mismas.
Impone a los auditores el deber y la responsabilidad de mantener una permanente actualización de sus
conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la
competencia de la oferta.
PRINCIPIO FORTALECIMIENTO Y RESPETO DE LA PROFESIÓN

Deberá cuidar del reconocimiento del valor de su trabajo. La remuneración por su actividad profesional
debería estar acorde con la preparación del auditor.
Debe evitar competir deslealmente con sus compañeros rebajando sus precios a límites impropios.
Deberá promover el respeto mutuo y la no confrontación entre compañeros.
PRINCIPIO DE INFORMACIÓN SUFICIENTE
Este principio de primordial interés para el auditado, obliga al auditor a ser plenamente consciente de su
obligación de aportar, en forma pormenorizadamente clara, precisa e inteligible para el auditado,
información tanto sobre todos y cada uno de los puntos relacionados con la auditoría que puedan tener
algún interés para él, como sobre las conclusiones a las que ha llegado, e igualmente informarle sobre la
actividad desarrollada durante la misma que ha servido de base para llegar a dichas conclusiones.
Dicha información deberá estar constituida por aquella que el auditor considere conveniente o beneficiosa
para los intereses o seguridad de su cliente y estar en consonancia con la utilidad que pueda tener, en el
presente o en el futuro, para el mismo.
El auditor deberá asimismo comprometerse con sus conclusiones, debiendo indicar en ellas los defectos
observados en el sistema informático, las líneas de actuación que recomienda y las dudas que respecto a las
mismas se le plantean.
PRINCIPIO DE INTEGRIDAD MORAL
Este principio obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión.
Evitar participar voluntaria o inconscientemente en cualquier acto de corrupción personal o de terceras
personas.
No aprovechar los conocimientos adquiridos durante la auditoria para utilizarlos en contra del auditado.
Deberá emplear la máxima diligencia, dedicación y precisión utilizando su saber y entender.
PRINCIPIO DE LEGALIDAD
El auditor deberá evitar utilizar sus conocimientos para facilitar a los auditados o terceras personas la
desobediencia de la legalidad vigente.
No consentirá ni colaborará en la eliminación de dispositivos de seguridad ni intentará obtener códigos o
claves de acceso a sectores restringidos de información.
Debe abstenerse de intervenir líneas de comunicación o controlar actividades que generen vulneración.
PRINCIPIO DE LIBRE COMPETENCIA
La actual economía de mercado exige que el ejercicio de la profesión se realice en el marco de la libre
competencia, siendo rechazables, por tanto, las prácticas tendentes a impedir o limitar la legítima
competencia de otros profesionales y las prácticas abusivas consistentes en el aprovechamiento en beneficio
propio, y en contra de los intereses de los auditados, de posiciones predominantes.
En la comercialización de los servicios de auditoría informática deben evitarse tanto los comportamientos
parasitarios como los meramente desleales, entendidos los primeros como aprovechamientos indebidos del
trabajo y reputación de otros en beneficio propio, y los segundos como intentos de confundir a los

demandantes de dichos servicios mediante ambigüedades, insinuaciones o puntualizaciones que sólo tengan
por objetivo enmascarar la calidad y fiabilidad de la oferta.
PRINCIPIO DE NO DISCRIMINACIÓN
El auditor en su actuación previa, durante y posterior a la auditoría, deberá evitar inducir, participar o
aceptar situaciones discriminatorias de ningún tipo, debiendo ejercer su actividad profesional sin prejuicios
de ninguna clase y con independencia de las características personales, sociales o económicas de sus
clientes.
Deberá evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar
diligencia con independencia de los beneficios obtenidos del auditado, de las simpatías personales que tenga
hacia éste o de cualquier otra circunstancia.
Su actuación deberá asimismo mantener una igualdad de trato profesional con todas las personas con las
que en virtud de su trabajo tenga que relacionarse con independencia de categoría, estatus empresarial o
profesional, etc.
PRINCIPIO DE NO INJERENCIA
El auditor, dada la incidencia que puede derivarse de su tarea, deberá evitar injerencias en los trabajos de
otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como
despreciativos de la misma o provocar un cierto desprestigio de su cualificación profesional, a no ser que,
por necesidades de la auditoría, tuviera que explicitar determinadas incompetencias que pudieran afectar a
las conclusiones o el resultado de su dictamen.
Deberá igualmente evitar aprovechar los datos obtenidos de la auditoría para entrar en competencia desleal
con profesionales relacionados con ella de otras áreas del conocimiento.
Esa injerencia es mayormente reprobable en los casos en los que se incida en aquellos campos de actividad
para los que el auditor no se encuentre plenamente capacitado.
PRINCIPIO DE PRECISIÓN
Relacionado con el principio de calidad exige al auditor la no conclusión de su trabajo hasta estar
convencido.
En la exposición de sus conclusiones debe ser crítico. Debe indicar como ha evaluado únicamente aquello
que haya comprobado u observad o de forma absoluta.
PRINCIPIO DE SECRETO PROFESIONAL
La confidencia y confianza son características esenciales de las relaciones entre el auditor y el auditado.
El auditor no debe difundir a terceras personas ningún dato que haya visto, oído o deducido durante el
desarrollo de su trabajo.
Imponer medidas y mecanismos de seguridad para garantizar al auditado que la informacion documentada
va estar segura.

PRINCIPIO DE VERACIDAD
Debe siempre asegurar la veracidad de sus manifestaciones con los límites impuestos por los deberes de
respeto, corrección y secreto profesional.
Este principio no debe, sin embargo, considerarse como constreñido a expresar únicamente aquello sobre lo
que se tenga una absoluta y total certeza, sino que implica, con el grado de subjetividad que esto conlleva,
poner de manifiesto aquello que, a tenor de sus conocimientos y de lo considerado como "buena práctica
profesional", tenga el suficiente grado de fiabilidad como para ser considerado comúnmente como veraz
mientras no se aporten datos o pruebas que demuestren lo contrario
PRINCIPIO DE SECRETO PROFESIONAL
La confidencia y la confianza son características esenciales de las relaciones entre el auditor y el auditado e
imponen al primero la obligación de guardar en secreto los hechos e informaciones que conozca en el
ejercicio de su actividad profesional. Solamente por imperativo legal podrá decaer esa obligación.
Este principio, inherente al ejercicio de la profesión del auditor, estipulado en beneficio de la seguridad del
auditado, obliga al primero a no difundir a terceras personas ningún dato que haya visto, oído, o deducido
durante el desarrollo de su trabajo que pudiera perjudicar a su cliente, siendo nulos cualesquiera pactos
contractuales que pretendieran excluir dicha obligación.
El auditor tan sólo deberá permitir el acceso y conocimiento de la misma a los profesionales que, bajo su
dependencia organizativa, estén igualmente sujetos al deber de mantener el secreto profesional y en la
medida en que, por las necesidades de información de los mismos, sea preciso.
PRINCIPIO DE SERVICIO PÚBLICO
La aplicación de este principio debe incitar al auditor a hacer lo que esté en su mano y sin perjuicio de los
intereses de su cliente, para evitar daños sociales como los que pueden producirse en los casos en que,
durante la ejecución de la auditoría, descubra elementos de software dañinos (virus informáticos) que
puedan propagarse a otros sistemas informáticos diferentes del auditado.
En estos supuestos el auditor deberá advertir, necesariamente en forma genérica, sobre la existencia de
dichos virus a fin de que se adopten las medidas sociales informativas pertinentes para su prevención, pero
deberá asimismo cuidar escrupulosamente no dar indicios que permitan descubrir la procedencia de su
información.
El auditor deberá asimismo tener presente la ponderación entre sus criterios éticos personales y los criterios
éticos subyacentes en la sociedad en la que presta sus servicios, debiendo poner de manifiesto sus opciones
personales cuando entren en contradicción con la ética social que el auditado pueda presumir que está
implícitamente aceptada por el auditor.
PRINCIPIO DE RESPONSABILIDAD
El auditor deberá, como elemento intrínseco de todo comportamiento profesional, responsabilizarse de lo
que haga, diga o aconseje, sirviendo esta forma de actuar como barrera de injerencias extraprofesionales.
Si bien este principio aparentemente puede resultar especialmente gravoso en auditorías de gran
complejidad, que por otra parte son las habitualmente encomendadas a los auditores informáticos es
preciso tenerlo presente a fin de poder garantizar su responsabilidad en los casos en que, debido a errores
humanos durante la ejecución de la auditoría, se produzcan daños a su cliente que le pudieran ser
imputados.
La responsabilidad del auditor conlleva la obligación de resarcimiento de los daños o perjuicios que pudieran
derivarse de una actuación negligente o culposa, si bien debería probarse la conexión causa-efecto originaria

del daño, siendo aconsejable estipular a priori un tope máximo de responsabilidad sobre los posibles daños
acorde con la remuneración acordada como contraprestación por la realización de la auditoría.
PRINCIPIO DE PUBLICIDAD ADECUADA
La oferta y promoción de los servicios de auditoría deberán en todo momento ajustarse a las características,
condiciones y finalidad perseguidas, siendo contraria a la ética profesional la difusión de publicidad falsa o
engañosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios.
La defensa del prestigio de la profesión obliga asimismo a los auditores informáticos a evitar las campañas
publicitarias que, por su contenido, puedan desvirtuar la realidad de sus servicios, enmascaren los límites de
los mismos, oscurezcan sus objetivos o prometan resultados de imprevisible, cuando no imposible,
consecución.
PRINCIPIO DE INDEPENDENCIA
Este principio, muy relacionado con el Principio de criterio propio, obliga al auditor, tanto si actúa como
profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoría
informática, a exigir una total autonomía e independencia en su trabajo, condición ésta imprescindible para
permitirle actuar libremente según su leal saber y entender.
La independencia del auditor constituye, en su esencia, la garantía de que los intereses del auditado serán
asumidos con objetividad; en consecuencia el correcto ejercicio profesional de los auditores es antagónico
con la realización de su actividad bajo cualesquiera condiciones que no permitan garantizarla.
Esta independencia implica asimismo el rechazo de criterios con los que no esté plenamente de acuerdo,
debiendo reflejar en su informe final tan sólo aquellos que considere pertinentes, evitando incluir en el
mismo aquellos otros con los que disienta aunque sea impelido a ello.
El auditor igualmente deberá preservar su derecho y obligación de decir y poner de manifiesto todo aquello
que según su ciencia y conciencia considere necesario, y abstenerse de adoptar métodos o recomendar
líneas de actuación que, según su entender, pudieran producir perjuicios al auditado, aunque éste así se lo
solicite.
Importancia de la auditoria forense
La auditoría forense es sin duda un tema de la actualidad e importancia, vinculado directamente con la lucha
contra la corrupción y con la labor que deben desarrollar las autoridades en el sector público. Sin embargo,
la sola decisión de las autoridades y directivos tampoco será suficiente si la contraloría general de la
república no cuenta con profesionales altamente calificados, capacitados y experimentados en la
investigación de fraudes, cuyos informes constituyan a nivel del ministerio público y de los juzgados y
tribunales de justicia, sólidos instrumentos para la iniciación y sustanciación de las acciones penales
tendientes a establecer culpables y responsables de los ilícitos, con la certeza de que serán impuestas las
penas correspondientes.
El producto de la auditoria forense es una prueba pericial especializada. Se le considera como un medio de
aportar cierto tipo de información o asesoramiento al proceso de datos de carácter científico, técnico y
especializado.
La auditoría Forense
Investiga, analiza evalúa, interpreta y documenta hechos relacionados con diferentes tipos de delitos en la
cual establece la capacitación plena del o los responsables. Determina la forma y tiempo en que se dieron
los hechos y la cuantificación del daño patrimonial Puede ser a una institución privada o del estado.

Las auditorias forenses pueden realizarse en cuanto a la auditoría financiera, operacional, de gestión,
ambiental, obras públicas, informática en la cual realizan los auditores donde detectan la presencia de
delitos o en caso de denuncias específicas.
La auditoría forense es el conjunto de técnicas utilizadas en la investigación de hechos de fraudes de
corrupción para la prevención de estos hechos, la detección o para la presentación de elementos
probatorios.
Características de la auditoria forense
Las características de la auditoria forense son
 Se analiza la información de forma exhaustiva
 Se piensa con creatividad
 El trabajo requiere actividades de análisis, cuantificación de pérdidas, recolección de evidencias.
 Debe poseer un sentido común de los negocios
 Es conocedora de temas contables, de auditorías, criminologías, de investigación y legales
El Fraude
Es un acto inmoral o ilegal perpetuado por una persona en contra de otra persona física o jurídica. A la
persona que comete el fraude se le llama defraudador y a la afectada se le llama defraudado.
Error
Es acción incorrecta pero no intencional, sino causada por problemas por problemas matemáticos,
conceptuales, físicos. Por ejemplo. Olvidar hacer un backup y se arruina el DD.
Irregularidad
Es acción indebida por falsas declaraciones, por omisiones intencionales, por manipulación o por
falsificación.
Las razones o causas del fraude es porque la gente tiene baja moral y lo suele explicar por tres argumentos:
1. Oportunidad.
2. Presión.
3. Racionalización.
Los fraudes de la empresa pueden ser ventas ficticias, aportaciones ilegales, sobornos, precio de
transferencia acomodada, sobrevaloración, transacciones irregulares, información financiera maquillada,
fraude fiscal, desfalcos, falsificación.
Usuarios de auditoria forense
Son las investigaciones corporativas, asuntos criminales, soportes de litigios y reclamos al seguro.
Soporte en litigio

Comprende el:
Conflicto entre empresas
- Conflicto entre empresas y ex empleados
- Disputa entre accionistas
Reclamos diversos.
- Investigaciones Corporativas
- Llamadas anónimas
- Cartas de empleados disgustados
- Rumores
Asuntos Criminales
- Crimen
- Fraude
- Auto quiebras
- Incendios premeditados.
Habilidades
- Legales
- Investigativas
- Manejo de evidencia
- Y presentación de hallazgos
Las normas a utilizar serán:
- Las legales
- Auditoria Interna y Externa.
Las funciones claves roles y responsabilidades
En materia de fraudes al consejo de administración le corresponde administrar la sociedad y en
consecuencia es responsable de establecer las políticas, procedimientos y los controles internos.
Designar supervisar y evaluar al director general y formular un plan.
Responsabilidades del consejo administrativo
A través de su presidente ejecutivo principal y financiero debe declarar públicamente la responsabilidad
sobre los estados financieros, sancionar los estados financieros y preparar el informe de gestión, prevenir el
fraude, descubrirlo, investigarlo y establecer las sanciones que correspondan.
El auditor interno frente al fraude
Corresponde evaluar los procesos de gestión de riesgos control y gobierno el cual debe identificar los
indicadores de fraude pero no se espera que tenga los conocimientos que deben de tener los investigadores
de fraude.
Disuasión del Fraude
Consiste en aquellas acciones que deben evitar la realización del fraude y para limitar los riesgos de que el
fraude se consuma. El principal mecanismo para la disuasión del fraude es el control.
El auditor interno puede recomendar cualquier investigación que considere necesaria cualquier
circunstancia y el cual debe informarlo a la autoridad.

Bases de la informática forense
Experticias, auditoria en inspecciones en computadora y páginas web, comunicación de origen de archivos
anexos, determinación de propietarios de dominio .com .net .org, etc.
Prueba de violación de derechos de autor, control preventivo y restricción de uso de computadoras e
internet, protección de información y derechos de autor, recuperación de datos o archivos borrados
intencionalmente o por virus y recuperación de cifrado de las claves.
Al realizar un análisis de informática forense es necesario tomar nota de lo que se hace con el disco duro,
a qué hora almacenándolo en una ubicación segura como por ejemplo una caja fuerte, es recomendable
que se trabaje con el medio original que este acompañado de un colega para que conste a los efectos
legales y el testimonio pueda ser confirmado por alguien con un nivel de conocimiento similar, el análisis
de datos es sumamente importante porque se trabajara en dos partes, una es la infusión en una red de
computadoras o mal uso de la misma y la otra es la interceptación de datos, la intrusión en la red con mal
funcionamiento es la actividad de la informática forense principal cuando el análisis se hace sobre
estructuras de esta naturaleza en las siguientes definiciones
La detección de la intrusión
Detectar la evidencia
Capturarla y preservarla
Y la tercera es la reconstrucción de la actividad específica, para el descubrimiento de la intrusión se
especifica el software en la cual se supervisa la comunicación de datos y las conexiones de red, antes de
realizar un análisis se debe tener en cuenta la siguiente información.
a) Sistema operativo afectado
b) Inventario de un software instalado en el equipo
c) Tipo de hardware del equipo
d) Accesorios y/o periféricos conectados al equipo
e) Si posee hardware si esta en el ámbito de la dmz (zona desmilitarizada)
f) Si posee internet
g) Configuración
h) Parshes y/o actualizaciones de software
i) Políticas de seguridad implementadas
j) Seguridad de la información si esta cifrada o no
k) Personas con acceso al equipo
l) La pc esta dentro de la dmz
m) Cuantos equipos existen en la red
TOMA DE DECISIONES CRÍTICAS EN PROYECTOS DE AUDITORIA INFORMÁTICA
Una adecuada toma de decisiones.
1. ¿Cree usted que el personal participante en la auditoria es importante si o no?
Si por que una de las partes más importantes dentro de la planeación de la auditoria sistemas es el personal
que deberá participar y sus características.
2. ¿Qué características cree usted que debe tener estas personas?

Se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener
el personal que intervendrá en la auditoria. En primer lugar se debe pensar que hay personal asignado por la
empresa. Como el ingeniero en sistemas y Técnicos.
3. ¿Como planificaría usted una auditoria de sistemas?
Yo la haría siguiendo una serie de pasos previos que me permitan dimensionar el tamaño y características de
área dentro del organismo a auditar, sus sistemas, organización y equipo.
4. ¿Que haría Usted para que la planeación de los sistemas de auditoria fueran cada vez mejor?
Pues yo haría una planeación cada vez mejor y eficaz.
5. ¿Haría usted antes de cada auditoria de sistemas una investigación preliminar si o no y como la
haría?
Si la haría observando el estado general del área, su situación dentro de la organización, si existe la
información solicitada, si es o no necesaria y la fecha de su última actualización.
6. ¿que diferencia y semejanza ve usted en la auditoria de sistemas y la auditoria financiera?
Que la financiera se enfoca en la Veracidad de estados financieros preparación de informes de acuerdo a
principios contables, evalúa la eficiencia, operacional y Eficacia y la de sistemas Se preocupa de la función
informática.
7. ¿Como seria una Evaluación de Sistemas?
La evaluación debe ser con mucho detalle, para lo cual se debe revisar si existen realmente sistemas
entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un
plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento
de prioridades y de objetivos.
8. ¿Cree usted que debería haber un control de proyectos en la auditoria de sistemas?
Si debe haber un control ya que debido a las características propias del análisis y la programación, es muy
frecuente que la implantación de los sistemas se retrase y se llegue a suceder que una persona lleva
trabajando varios años dentro de un sistema o bien que se presenten irregularidades en las que los
programadores se ponen a realizar actividades ajenas a la dirección de sistemas. Para poder controlar el
avance de los sistemas, ya que ésta es una actividad de difícil evaluación.
9. ¿Que clases de auditoria conoce?
Financiera, Económica, Sistemas, Fiscal, Administrativa.
10. ¿Cuáles cree usted que son los objetivos principales de una auditoria de sistemas?
• Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e
implantados por el PAD
• Incrementar la satisfacción de los usuarios de los sistemas computarizados
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la
recomendación de seguridades y controles.
• Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los
objetivos propuestos.
• Seguridad de personal, datos, hardware, software e instalaciones
• Apoyo de función informática a las metas y objetivos de la organización.
ACTIVIDADES CRÍTICAS DE LA AUDITORÍA INFORMÁTICA
• Verificación del control interno, tanto de las aplicaciones como de los sistemas informáticos,
centrales y periféricos.

• Análisis de la gestión de los sistemas de información desde una vista de riesgo de seguridad y de
efectividad de la gestión.
• Evaluación de la integridad, fiabilidad y certeza de la información, a través del análisis de las
aplicaciones.
• Análisis del nivel de actualización de las TICs en la organización •Análisis de la gestión de los riesgos
de la información y de la seguridad informática.
• Verificación del nivel de continuidad de las operaciones (campos de revisión : riesgo de la
información, continuidad de las operaciones, gestión del centro de información, efectividad y
actualización de las inversiones).
• Diagnóstico sobre la contribución de las aplicaciones y recursos a las necesidades estratégicas y
operativas de información de la organización.
 el auditor interno debe convertirse en consultor y apoyo del auditado, sugiriendo procedimientos de
control interno, efectividad y eficacia y medición del riesgo
 empresarial.
Hacia una Auditoria en Informática eficiente Clave:
 Conocimiento, habilidades y capacidades profesionales y personales del auditor informático.
 Conocer teóricamente normas, políticas y estándares de auditoría/informática, no son garantía de
seguridad y confianza.
 Experiencia: Práctica, Disciplina, Orden y Objetividad.
 Facultades apropiadas de: análisis objetivo, habilidades de comunicación y modelación conceptual,
observación y capacidad para tomar decisiones.
Síntomas de Necesidad de una Auditoría Informática: Las empresas acuden a las Auditoría externas cuando
existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:
a) Síntomas de descoordinación y Desorganización:
- No coinciden los objetivos de la informática de la compañía y de la propia compañía
- Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.
(Puede suceder con algún cambio masivo de personal, o en una reestructuración fallida de alguna área o en
la modificación de alguna norma importante.)
b) Síntomas de mala imagen e insatisfacción de los usuarios:
- No se atienden las peticiones de cambios de los usuarios. (Ej. Cambios de software en los terminales de
usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su
disposición, etc.)
- No se reparan las averías de hardware, no se resuelven incidencias en plazos razonables. El usuario percibe
que está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones
pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de
aplicaciones críticas y sensibles.
c) Síntomas de debilidades económico - financiero:
- Incremento desmesurado de costos
- Necesidad de justificación de inversiones informáticas (La empresa no esta absolutamente convencida de
tal necesidad y decide contrastar opiniones)
- Desviaciones presupuestarias significativas
- Costos y plazos de nuevos proyectos (deben auditarse simultáneamente a desarrollo de proyectos y al
órgano que realizo la petición).
d) Síntomas de inseguridad: Evaluación de riesgos

- Seguridad Lógica
- Seguridad Física
- Confidencialidad (Los datos son de propiedad inicialmente de la organización que los genera. Los datos de
personal son especialmente confidenciales)
- Continuidad del servicio. Establece la estrategias de continuidad entre fallo mediante planes de
contingencia. Centro de proceso de datos fuera de control. Si tal situación llegara a percibirse, sería
prácticamente inútil la Auditoría. El síntoma debe ser sustituido por el mínimo indicio.
MANEJO DE PRESUPUESTOS EN PROYECTOS DE AUDITORIA INFORMÁTICA
Se le llama presupuesto al cálculo anticipado de los ingresos y gastos de una actividad económica (personal,
familiar, un negocio, una empresa, una oficina, un gobierno) durante un período, por lo general en forma
anual. Es un plan de acción dirigido a cumplir una meta prevista, expresada en valores y términos financieros
que, debe cumplirse en determinado tiempo y bajo ciertas condiciones previstas, este concepto se aplica a
cada centro de responsabilidad de la organización. El presupuesto es el instrumento de desarrollo anual de
las empresas o instituciones cuyos planes y programas se formulan por término de un año.
MANEJO DE INCIDENTES PROYECTOS DE AUDITORIA INFORMÁTICA
Administración de Problemas: El objetivo es asegurar que los problemas e incidentes sean resueltos y que
sus causas sean investigadas para prevenir que vuelvan a suceder implementando un sistema de manejo de
problemas que registre y haga seguimiento a todos los incidentes.
DIFICULTADES DE LA AUDITORIA INFORMÁTICA, ANÁLISIS RETROSPECTIVO ACTUALIZADO Y A FUTURO.
DIFICULTADES DE LA AUDITORIA INFORMATICA Características de un computador señala las características
más importantes de un computador en su relación con la auditoría. Ellas son: • Automatismo del
computador. El computador como un autómata nos libera del comportamiento probabilístico de los seres
humanos. • Determinismo del algoritmo. El computador trabaja mediante un proceso exactamente definido
que fija la secuencia estricta en que ha de realizarse una serie de operaciones para arribar a un resultado
prefijado. Esto lo realiza un programa que en realidad se trata de un modelo determinístico. Se podría
resumir en que un computador actúa siempre igual ante iguales situaciones; su comportamiento no es
autónomo, sino que debe ser previamente determinado por el hombre (a través de un programa). Como
corolario, el riesgo no está en el instrumento en sí (el computador), sino en quién lo maneja y controla (el
programador u operador)
RETOS Y PROYECCIONES DE TI Y DE LA AUDITORIA INFORMÁTICA
Esto implica que las variables:
Estrategia,
Alcance,
Nivel de riesgo tolerable del Auditor Deben ser definidos antes de elaborar el
Plan de Acción o Programa de Auditoría, por cuanto de estas respuestas depende la rentabilidad y eficiencia
de la Auditoría así como la calidad de la información y las pruebas que se obtengan.
Este es un paso muy importantes en el sentido que es aquí dónde se moldea la Estrategia y las premisas
claves de la Auditoría, se obtiene el punto de vista y las sugerencias del Jefe de Grupo, se determina cuán
importante es la Auditoría para la Entidad y qué nivel de riesgo de Auditoría se puede aceptar en relación
con la importancia del Area o Sistema que representa el Auditado. Se refleja además en la calidad de la

opinión necesaria para minimizar la posibilidad de arribar a una opinión equivocada que pudiera afectar la
credibilidad e integridad del auditor. De la Estrategia, los Objetivos Generales de Auditoría y el nivel de
riesgo de Auditoría tienen mucho que ver con el enfoque de prueba que posteriormente debía considerarse.
Determinación del Enfoque de Prueba:
Para la determinación de las técnicas de prueba nos auxiliamos de una matriz cuyas filas recogen
65 Herramientas o Técnicas de Prueba posibles y en las columnas los 8 Tipos de Sistemas:
1-Manual
2-En lote
3-En desarrollo
4-En Línea
5-Disperso de Red
6-Distribuido Cliente/Servidor
7-Microcomputadoras
8-Probabilísticodonde en cada escape se define el nivel de efectividad que la herramienta posee para ese
tipo de sistema y además si se corresponde con una Prueba de Cumplimiento o una
Prueba Sustantiva. Es importante destacar que al usar un enfoque de prueba equivocado se
pueden obtener resultados de prueba que no sean indicativos del verdadero riesgo inherente al sistema.
Elaboración del Programa de Auditoría:
Está claro que en esos momentos ya hemos definido:
 Los Objetivos que hay que verificar,
 Los riesgos que son necesarios evaluar y
 Las Técnicas que vamos a emplear.
ESPECIALIZACIONES EN AUDITORIA INFORMÁTICA
La Certificación en Gestión de Seguridad de la Información (CISM) es la certificación de ISACA introducida
desde el año 2002 y dirigida específicamente a profesionales experimentados en la Seguridad de la
Información. La certificación CISM está orientada a la gerencia de riesgos y gestión de seguridad de la
información.
Certified Information Systems Auditor (CISA) es una certificación para auditores respaldada por
la Asociación de Control y Auditoría de Sistemas de Información (ISACA) (Information Systems Audit and
Control Association). Los candidatos deben cumplir con los requisitos establecidos por la ISACA.
La certificación CISA fue establecida en 1978, debido a las siguientes razones:
 Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las competencias de los
individuos al realizar auditorías de sistemas.
 Proveer una herramienta motivacional para los auditores de sistemas de información para mantener sus
habilidades, y monitorizar la efectividad de los programas de mantenimiento.
 Proveer criterios de ayudar y gestión en la selección de personal y desarrolladores.

"Certified in the Governance of Enterprise IT" (CGEIT) que permite a las empresas disponer de
profesionales capaces de aplicar las mejores prácticas y obtener los mejores resultados en la gestión de los
Sistemas de Información y Comunicaciones.
Esta certificación se basa en las cinco áreas del conocimiento del gobierno TI, así como también en las
normas que respaldan el buen gobierno de las TI (COBIT e ITIL).
El certificado está diseñado para profesionales que desempeñen su profesión en las áreas de Gestión,
Asesoramiento o Auditoría del Gobierno de las TI.
El Certificado en Sistemas de Información de Riesgos y Control (CRISC) es una nueva certificación ofrecida
por ISACA y se basa en la propiedad intelectual de la asociación, investigación de mercado independiente y
los aportes de expertos en la materia de todo el mundo. La certificación ha sido diseñada para profesionales
de TI y de negocios que identifiquen y gestionen los riesgos mediante la elaboración, implementación y
mantenimiento de sistemas adecuados de información de los controles.
La designación CRISC está diseñado para:
 Los profesionales de TI
 Profesionales de riesgo
 Análisis económico
 Los gerentes de proyecto
 Cumplimiento de los profesionales de la empresa
CRISC Áreas de Enfoque
La designación CRISC se centra en:
 Identificación, evaluación y la evaluación de respuestas a los riesgos
 Supervisión de riesgos
 Es el diseño de control y aplicación
 Es seguimiento, control y mantenimiento
AUDITORIA FORENSE
La auditoria forense investiga, analiza, interpreta, evalua y documenta hechos relacionados con diferentes
tipos de delitos en la cual establece en la edificación plena del o las responsables determina la forma y
tiempo en que se dieron los hechos y la cuantificación del daño patrimonial puede ser a una institución
privada o a estados.
Las auditorias forenses pueden realizarse en cuanto a la auditoria financiera, operacional de gestión,
ambiental, obras públicas, informática, en la cual la realizan los auditores donde detectan la existencia de
delitos o en caso de denuncias específicas, la auditoria forense es el conjunto de técnicas utilizada en la
investigación de hechos, fraudes y corrupción para la proyección de estos hechos la detección, o para la
presentación de elementos probatorios.
FRAUDE: es un acto inmoral o ilegal perpetrado por una persona en contra de otra persona física o jurídica a
la persona que comete el fraude se le llama defraudador y a la afectada defraudada.
ERROR:es acción incorrecta pero no intencional sino causada por problemas matemáticos, conceptuales.
IRREGULARIDAD: es acción indebida por falsas declaraciones por omisiones intencionales, por manipulación,
o por falsificación.
RAZONES Y CAUSAS DEL FRAUDE
Es porque la gente tiene baja moral y lo suele explicar por tres argumentos
- La oportunidad
- La presión

- La racionalización
Los fraudes de la empresa pueden ser ventas ficticias, aportaciones ilegales, sobornos, precio de
transferencia acomodado, sobrevaloración, transacciones irregulares, información financiera
retirada, fraude fiscal, desfalcos, falsificación.
USUARIOS DE AUDITORIA FORENSE
· Investigaciones corporativas
· Asuntos criminales
· Soportes en litigios
· Reclamos al seguro
SOPORTE Y LITIGIO
Conflicto entre empresas y ex empleados, disputa entre accionistas y reclamos diversos, corporativas,
llamadas anónimas, cartas de empleados disgustados, rumores.
ASUNTOS CRIMINALES
· Crimen
· Fraude
· Auto quiebras
· Incendios premeditados
HABILIDADES
Pueden ser legales e investigativas, manejo de evidencia y presentación de hallazgos, las normas a utilizar
serán las legales, auditoria interna y externa.
Las funciones claves, roles y responsabilidades en materia de fraudes al consejo de administración le
corresponde administrar la sociedad y en consecuencia es responsable de establecer las políticas, los
procedimientos, y los controles internos.
Designar, supervisar y evaluar al director general y formular un plan.
Las responsabilidades del consejo administrativo, atraves de su presidente ejecutivo principal y financiero
debe declarar públicamente la responsabilidad sobre los estados financieros y preparar el informe de
gestión, Prevenir el fraude, descubrirlo, investigarlo, y establecer las sanciones que corresponden.
El auditor interno frente al fraude, corresponde evaluar los procesos de gestión de riesgos, control y
gobierno, el cual debe identificarlos de fraude pero no se espera que tenga los conocimientos que debe de
tener los investigadores de fraude, la disuasión del fraude consiste en aquellas acciones que deben evitar la
realización de fraude y para limitar los riesgos de que el fraude se consuma, el principal mecanismo para la
disuasión de fraude es el control, el auditor interno puede recomendar cualquier investigación, que
considere necesaria cualquier circunstancia y el cual debe informarles a las autoridades responsables de la
organización.
Requisitos para la elaboración de un informe de Auditoria
El Informe de Auditoría indica:‡
Estructura del Informe
1. Título o Identificación del Informe Distinguirlo de otros informes
2. Fecha de Comienzo
3. Miembros del Equipo Auditor
4. Entidad auditada
5. Objetivos
6. Alcance y Enfoque de la Auditoría
Estándares, especificaciones, prácticas y procedimientos utilizados
Excepciones aplicadas
7. Materias consideradas en la auditoría
Situación actual‡
Hechos importantes
Hechos consolidados
Tendencias, de situación futura
Puntos débiles y amenazas (hecho = debilidad)
‡ Hecho encontrado
‡Consecuencias del hecho

‡Repercusión del hecho (influencias sobre otros aspectos)‡
Conclusión del hecho
7.Recomendaciones
I. Estilo y Contenido: Objetivo, claro, conciso, constructivo y oportuno
II. ‡Apropiado a los destinatarios.‡
III. Identificar organización auditada‡
IV. Objetivos (lo que trata de cumplir la auditoría)
V. Alcance: naturaleza, tiempo y extensión del trabajo de auditoría
VI. ‡Área funcional
VII. ‡Período de auditoría
VIII. ‡Sistemas de información, aplicaciones o entornos audita
IX. Hallazgos significativos de la auditoría (causas y riesgos)
X. Conclusión: evaluación del auditor sobre el área auditada
XI. Recomendaciones, para realizar acciones correctivas
XII. Nombre, Dirección y Datos Registrales del Auditor
XIII. Firma del Auditor
XIV. Fecha de emisión del informe

Una planificación adecuada de auditoría adecuada es el primer paso necesario para realizar
auditorias de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha
de realizar la auditoria así como los riesgos del negocio y control asociado.
Hay 7 partes importantes de la planificación de la auditoria :
1) Plan previo
2) Obtención de antecedentes de el cliente
3) Obtener información sobre las obligaciones legales del cliente
4) Realización de procedimientos analíticos preliminares
5) Evaluación de la importancia y el riesgo
6) Conocimiento de la estructura del control interno
7) Evaluación del riesgo de control
Comprensión del negocio y de su ambiente.
. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el
tema de la auditoria, así como los tipos de sistemas que se utilizan.
Riesgo y materialidad de auditoria
• Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles
compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede
ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de
que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado
Normas De Auditoria
Las normas de Auditoria Generalmente Aceptadas (NAGAS) son los principios fundamentales de auditoria a los
que deben enmarcarse su desempeño los auditores durante el proceso de la auditoria. El cumplimiento de estas
normas garantiza la calidad del trabajo profesional del auditor.
A continuación se menciona algunas de las áreas que deben ser cubiertas durante la planificación de la auditoria:
Comprensión del negocio y de su ambiente.
. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el
tema de la auditoria, así como los tipos de sistemas que se utilizan.
Riesgo y materialidad de auditoria
• Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles
compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede
ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de
que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado
Normas De Auditoria
Las normas de Auditoria Generalmente Aceptadas (NAGAS) son los principios fundamentales de auditoria a los
que deben enmarcarse su desempeño los auditores durante el proceso de la auditoria. El cumplimiento de estas
normas garantiza la calidad del trabajo profesional del auditor.
Instrumento para realizar una auditoria
LCLint (Splint) una herramienta que comprueba posibles problemas en programas escritos en C. Se encarga de
buscar muchos de los errores más habituales, pero además localiza posibles violaciones de información oculta,
modificaciones inconsistentes de estados, usos inconsistentes de variables globales, errores en la gestión de la
memoria, comparticiones peligrosas de datos o usos de alias inesperados, usos de memoria no definidos, de
referencias al puntero nulo .
Flawfindel examina el código fuente buscando fallos de seguridad .Busca funciones con problemas conocidos.
Como desbordamientos de buffer), errores de formato condiciones de,

Mega resumen

Más contenido relacionado

Similar a Mega resumen (20)

Último (20)

Mega resumen