universidad de guayaquil facultad de ciencias ...repositorio.ug.edu.ec › bitstream › redug ›...

UNIVERSIDAD DE GUAYAQUIL

FACULTAD DE CIENCIAS ADMINISTRATIVAS

INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS

TRABAJO DE TITULACIÓN PRESENTADA COMO REQUISITO PARA OPTAR

POR EL TÍTULO DE INGENIERÍA EN SISTEMAS ADMINISTRATIVOS

COMPUTARIZADOS

TEMA:

SECTOR BANCARIO DEL ECUADOR EN EL PERÍODO 2014

AUTORES:

JOSÉ JULIÁN ANGULO RAMÍREZ

MARIANA DE JESÚS CÓRDOVA SANTANA

TUTOR DE TESIS:

ING. RAÚL HUREL GUZMÁN

GUAYAQUIL, SEPTIEM BRE 2019

NO SI

UNIVERSIDAD DE GUAYAQUIL FACULTAD DE ADMINISTRACION

CARRERA DE INGENIERIA EN SISTEMAS ADMINISTRATIVOS COMPUTARIZADOS

Unidad de Titulación

REPOSITORIO NACIONAL EN CIENCIA Y TECNOLOGÍA

FICHA DE REGISTRO DE TESIS/TR ABAJO DE GRADUACIÓN

TÍTULO Y SUBTÍTULO: Ecuador en el periodo 2014 -

AUTOR(ES) (apellidos/nombres):

Angulo Ramírez José Julián Córdova Santana Mariana de Jesús

REVISOR(ES)/TUTOR(ES) (apellidos/nombres):

Ing. Raúl Hurel Guzmán, MAE.

INSTITUCIÓN: Universidad de Guayaquil

UNIDAD/FACULTAD: Facultad de Ciencias Administrativas

MAESTRÍA/ESPECIALIDAD: Ingeniería en Sistema Administrativos Computarizados

GRADO OBTENIDO: Ingeniería en Sistema Administrativos Computarizados

FECHA DE PUBLICACIÓN: 2019 No. DE PÁGINAS:

ÁREAS TEMÁTICAS: Proyecto de Investigación

PALABRAS CLAVES/ KEYWORDS:

Delitos informáticos, transacciones financieras, banca, guía, seguridad informática

RESUMEN/ABSTRACT (150-250 palabras): El inminente avance de la tecnología ha permitido desarrollar diversos métodos para que los usuarios realicen con

mayor facilidad una serie de transacciones financieras; sin embargo, a su vez ha sido el medio para crear y ejecutar

delitos que vulneran la seguridad de las plataformas de las instituciones bancarias.

El desarrollo de esta investigación tiene como meta diseñar/proponer una guía estratégica para coadyuvar a la

prevención de dichos delitos informáticos en las instituciones financieras del país; para lo cual se realizaron

encuestas a usuarios, además de entrevistas a empleados, especialistas informático-legales y auditores externos de

entidades bancarias, gracias a esta metodología se logró encontrar falencias en el área de seguridad de la

información.

Por lo tanto, concluimos que es necesaria la aplicación de estos procedimientos internos, los cuales los hemos

dividido en procedimientos de recuperación, de operación alterna y de restauración, siguiendo las normas de las

buenas practicas dirigidos a los especialistas informáticos; además de la capacitación constante a usuarios y a los administradores de justicia en temas de prevención de los delitos en la banca.

ADJUNTO PDF:

CONTACTO CON AUTOR/ES: Teléfono: 0991695160 0994639678

E-mail: [email protected] [email protected]

CONTACTO CON LA INSTITUCIÓN:

Nombre: Abg Elizabeth Coronel

Teléfono: 042848487

E-mail: [email protected]

mailto:[email protected]:[email protected]:[email protected]


CARRERA DE INGENIERIA EN SISTEMAS ADMINISTRAT IVOS COMPUTARIZADOS


CERTIFICADO PORCENTAJE DE SIMILITUD

Habiendo sido nombrado Ing. Raúl Hurel Guzmán, MAE., tutor del trabajo de

titulación, certifico que el presente trabajo de titulación ha sido elaborado por Ángulo

Ramírez José Julián C.I. 0921434858 y Córdova Santana Mariana de Jesús C.I.

0922598628, con mi respectiva supervisión como requerimiento parcial para la

obtención del título de Ingeniería en Sistema Administrativos Computarizados

Se informa que el trabajo de titulación:

informáticos en el sector bancario del Ecuador en el periodo 2014 - ,ha sido

orientado durante todo el periodo de ejecución en el programa anti plagio

(URKUND) quedando el 8%de coincidencia.

https://secure.urkund.com/old/view/53419223-123158- 906615#BcE7CoNAFEDRvUx9CfP+6laChYjKFLGxDNl7zvm2z9OWt3REkAmZUUMdDTTRwgxL3PHA kyApJuaV9ozrHufYt3s/2tJfvVws0rwiyrv67w8=

Ing. Raúl Hurel Guzmán, MAE., C.I.0916753650

https://secure.urkund.com/old/view/53419223-123158-906615%23BcE7CoNAFEDRvUx9CfP%2B6laChYjKFLGxDNl7zvm2z9OWt3REkAmZUUMdDTTRwgxL3PHAkyApJuaV9ozrHufYt3s/2tJfvVws0rwiyrv67w8%3Dhttps://secure.urkund.com/old/view/53419223-123158-906615%23BcE7CoNAFEDRvUx9CfP%2B6laChYjKFLGxDNl7zvm2z9OWt3REkAmZUUMdDTTRwgxL3PHAkyApJuaV9ozrHufYt3s/2tJfvVws0rwiyrv67w8%3Dhttps://secure.urkund.com/old/view/53419223-123158-906615%23BcE7CoNAFEDRvUx9CfP%2B6laChYjKFLGxDNl7zvm2z9OWt3REkAmZUUMdDTTRwgxL3PHAkyApJuaV9ozrHufYt3s/2tJfvVws0rwiyrv67w8%3D




Guayaquil, agosto 18 de 2019

CERTIFICACIÓN DEL TUTOR / REVISOR

Habiendo sido nombrado Ing. Raúl Hurel Guzmán, MAE., tutor del trabajo de

titulación

bancario del Ecuador en el periodo 2014 - , certifico que el presente trabajo

de titulación, elaborado por Angulo Ramírez José Julián C.I. 0921434858 y

Córdova Santana Mariana de Jesús C.I. 0922598628, con mi respectiva

supervisión como requerimiento parcial para la obtención del título de Ingeniero en

Sistema Administrativos Computarizados en la Carrera Ingeniería en Sistema

Administrativos Computarizados, Facultad de Ciencias Administrativas, ha sido

REVISADO Y APROBADO en todas sus partes, encontrándose apto para su

sustentación.

Ing. Raúl Hurel Guzmán Ing. José Córdova Aragundi

C.I. No.0916753650 C.I. No. 0917236663

*CÓDIGO ORGÁNICO DE LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E INNOVACIÓN (Registro Oficial n. 899 - Dic./2016) Artículo 114.- De los titulares de derechos de obras creadas en las instituciones de educación superior y centros educativos.- En el caso de las obras creadas en centros educativos, universidades, escuelas politécnicas, institutos superiores técnicos, tecnológicos, pedagógicos, de artes y los conservatorios superiores, e institutos públicos de investigación como resultado de su actividad académica o de investigación tales como trabajos de titulación, proyectos de investigación o innovación, artículos académicos, u otros análogos, sin perjuicio de que pueda existir relación de dependencia, la titularidad de los derechos patrimoniales corresponderá a los autores. Sin embargo, el establecimiento tendrá una licencia gratuita, intransferible y no

exclusiva para el uso no comercial de la obra con fines académicos.




LICENCIA GRATUITA INTRANSFERIBLE Y NO EXCLUSIVA PARA EL

USO NO COMERCIAL DE LA OBRA CON FINES NO ACADÉMICOS

Nosotros, Mariana de Jesús Córdova Santana con C.I. No. 0922598628 y José Julián

Angulo Ramírez con C.I. No. 0921434858, certificamos que los contenidos desarrollados

en este trabajo de titulación, cuyo título es

informáticos en el sector bancario del Ecuador en el período 2014 - son de nuestra

absoluta propiedad y responsabilidad Y SEGÚN EL Art. 114 del CÓDIGO ORGÁNICO DE

LA ECONOMÍA SOCIAL DE LOS CONOCIMIENTOS, CREATIVIDAD E

INNOVACIÓN*, autorizamos el uso de una licencia gratuita intransferible y no exclusiva

para el uso no comercial de la presente obra con fines no académicos, en favor de la

Universidad de Guayaquil, para que haga uso del mismo, como fuera pertinente.

MARIANA DE JESÚS CÓRDOVA SANTANA JOSÉ JULIÁN ANGULO RAMÍREZ C.I. No. 0922598628 C.I. No. 0921434858




DEDICATORIA

Dedico la culminación de esta etapa primeramente a Dios

Todopoderoso por darme la vida, salud, y permitirme superar

los obstáculos presentados y hacerlos ver como retos, y en

segundo lugar, a mis adoradas: madre, hermana y sobrinas

que son el pilar fundamental en mis días.

José Julián Angulo Ramírez

Dedico mi trabajo de titulación a mi familia, en especial a mi

mamá e hija ya que son las fuerzas y las razones para

mantenerme firme y de haber podido superar cualquier

adversidad, son quienes me han brindado su apoyo a cada

paso dado hasta hoy.

Mariana de Jesús Córdova Santana




AGRADECIMIENTO

Agradezco a la distinguida institución por haberme dado la

oportunidad de ser parte de ella, agradezco también a los

docentes que supieron impartir sus conocimientos de manera

desinteresada.

José Julián Angulo Ramírez

Mi agradecimiento va dirigido a nuestro Dios padre por sus

bendiciones, a la institución académica, quien ha permitido mi

formación junto al aporte de los docentes que han estado en el

trayecto, me es grato mencionar a la empresa en la que laboro

actualmente por ser parte también; agradezco a todos ellos por

contribuir y así yo haber tenido la oportunidad de persistir a

este logro profesional.

Mariana de Jesús Córdova Santana




ANÁLISIS DE LA TAXONOMÍA DE LOS DELITOS INFORMÁTICOS EN EL SECTOR BANCARIO DEL ECUADOR EN EL PERIODO 2014 -

Autores: Mariana de Jesús Córdova Santana

Julián Angulo Ramírez

Tutor: Raúl Hurel Guzmán, MAE.

RESUMEN

El inminente avance de la tecnología ha permitido desarrollar diversos métodos para que los

usuarios realicen con mayor facilidad una serie de transacciones financieras; sin embargo, a su vez

ha sido el medio para crear y ejecutar delitos que vulneran la seguridad de las plataformas de las

instituciones bancarias.

El desarrollo de esta investigación tiene como meta diseñar/proponer una guía estratégica

para coadyuvar a la prevención de dichos delitos informáticos en las instituciones financieras del

país; para lo cual se realizaron encuestas a usuarios, además de entrevistas a empleados,

especialistas informático-legales y auditores externos de entidades bancarias, gracias a esta

metodología se logró encontrar falencias en el área de seguridad de la información.

Por lo tanto, concluimos que es necesaria la aplicación de estos procedimientos internos, los

cuales los hemos dividido en procedimientos de recuperación, de operación alterna y de

restauración, siguiendo las normas de las buenas prácticas dirigidos a los especialistas informáticos;

además de la capacitación constante a usuarios y a los administradores de justicia en temas de

prevención de los delitos en la banca.

Palabras Claves: Delitos informáticos, transacciones financieras, banca, guía, seguridad informática.

UNIVERSIDAD DE GUAY AQUIL FACULTAD DE ADMINISTRACION



THE

BANKING SECTOR OF ECUADOR IN THE PERIOD 2014 -

Autores: Mariana de Jesús Córdova Santana

Julián Angulo Ramírez

Tutor: Raúl Hurel Guzmán, MAE.

ABSTRACT

The imminent advance of technology has allowed the development of various methods

for users to more easily carry out a series of financial transactions; however, in turn it has been the

means to create and execute crimes that violate the security of banking institutions' platforms.

The purpose of this investigation is to design / propose a strategic guide to help prevent

such computer crimes in the country's financial institutions; Therefore, user surveys were

conducted, in addition to interviews with employees, computer-legal specialists and external

auditors of banking entities, thanks to this methodology it was possible to find flaws in the security

área.

Therefore, we conclude that the application of these internal procedures is necessary,

which we have divided into procedures for recovery, alternate operation and restoration, following

the standards of good practices aimed at computer specialists; in addition to the constant induction

of users and administrators of justice in matters of crime prevention in banking.

Keywords: Cybercrime, financial transactions, guidelines, banking, Informatic security

TABLA DE CONTENIDOS

CAPÍTULO I ................................................................................................................................. 1

PLANTEAMIENTODEL PROBLEMA ....................................................................................... 1

1.1 Antecedentes del problema.................................................................................................. 1

1.2 Planteamiento del problema ................................................................................................ 2

1.3 Sistematización del problema .............................................................................................. 3

1.3.1 Planteamiento de las hipótesis ......................................................................................... 4

1.3.2 Objetivo general............................................................................................................... 4

1.3.3 Objetivos específicos ....................................................................................................... 4

1.3.4 Justificación de la investigación ...................................................................................... 5

1.3.5 Viabilidad del estudio ...................................................................................................... 6

CAPÍTULO II ............................................................................................................................... 7

MARCO TEÓRICO ...................................................................................................................... 7

2.1 Delitos informáticos-bancarios ........................................................................................... 7

2.1.1 Fraude Bancario 7

2.1.2 Phishing 8

2.1.3 Ataque BIN 10

2.1.4 Rounding Down o Técnica del Salami ................................................................... 12

2.1.5 Skimming o clonación de tarjetas ........................................................................... 13

2.1.6 Ransonware 14

2.1.7 Bombas lógicas 16

2.1.8 Ataque Man-In-The-Middle 17

2.1.9 Keylogger 18

2.1.10 Ataques a tecnología Contactless ......................................................................... 20

2.2 Campos de estudio ............................................................................................................. 21

2.2.1 Aspectos Legales ........................................................................................................... 21

2.2.1.1 Que es la tipificación de un Delito?..................................................................... 21

2.2.1.2 Normativas aplicables al delito informático en el Ecuador ................................. 24

2.2.1.3 Ley Orgánica de Instituciones del Sistema Financiero. ....................................... 24

2.2.1.4 Ley Orgánica de Transparencia y Acceso a la Información Bancaria ................. 25

2.2.1.5 Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos .......... 25

2.2.1.6 Ley de Propiedad Intelectual (Código Ingenios). ................................................ 26

2.2.1.7 Ley de Habeas Data ............................................................................................. 27

2.2.1.8 Código Orgánico Integral Penal. ......................................................................... 28

2.2.1.9 Delitos financieros-bancarios .............................................................................. 30

2.2.1.10 Características de dos delitos financieros .......................................................... 32

2.2.1.11 Entes reguladores de las Instituciones Bancarias en en el Ecuador ................... 32

2.2.1.11.1 Superintendencia de Bancos ................................................................................... 32

2.2.1.11.2 Servicio de Rentas Internas ..................................................................................... 33

2.2.2 Aspectos Técnicos ......................................................................................................... 35

2.2.2.1 Seguridad Informática ......................................................................................... 35

2.2.2.2 Conceptos básicos de Seguridad Informática ...................................................... 36

2.2.2.3 Opiniones de especialistas anónimos sobre seguridad en la banca ..................... 38

2.2.2.4 Cómo implementar una política de seguridad ..................................................... 39

2.2.2.5 Objetivos de la seguridad Informática ................................................................. 41

2.2.3 Servicios financieros en las entidades bancarias ........................................................... 41

2.2.3.1 Servicios Financieros con cargo básico ............................................................... 42

2.2.3.2 Servicios Financieros con cargo máximo ............................................................ 43

2.2.3.3 Servicios Financieros con cargo diferenciado ..................................................... 44

2.2.3.4 Banca Virtual o Banca Móvil .............................................................................. 44

2.2.3.5 Contactless 48

CAPÍTULO III ............................................................................................................................ 49

METODOLOGÍA ....................................................................................................................... 49

3.1 Modalidad de la Investigación ........................................................................................... 49

3.2 Tipo de Investigación ........................................................................................................ 49

3.3 Fuentes 50

3.4 Muestra .............................................................................................................................. 50

3.4.1 Muestra Clientes/Usuarios de Bancos ............................................................................ 50

3.4.2 Muestra Expertos Informáticos ...................................................................................... 50

3.4.3 Muestra Expertos Delitos Informáticos ......................................................................... 50

3.5 Instrumentos de la Investigación ....................................................................................... 51

3.5 Procedimientos de la Investigación ................................................................................... 51

3.5.1 Aplicaciones 51

3.5.2 Los instrumentos (formularios): ............................................................................. 51

CAPÍTULOIV ............................................................................................................................. 60

RESULTADOS ........................................................................................................................... 60

4.1 Los resultados .................................................................................................................... 60

4.2 Tabulaciones de encuestas a usuarios ................................................................................ 60

4.2.1 Cuestionario tipo encuesta de actividades ilícitas utilizando las TICs en las Instituciones bancarias dirigida a Clientes/Usuarios de la Banca ........................................... 60

4.2.2 Conclusiones de las respuestas de especialistas ............................................................ 70

4.2.3 Recomendaciones en base a los resultados .................................................................... 71

PROPUESTA .............................................................................................................................. 72

4.3 La propuesta ................................................................................................... 72

4.3.1 Responsabilidades .......................................................................................................... 73

4.3.2 Componentes de la infraestructura actual ...................................................................... 73

4.3.3 Componentes críticos .................................................................................................... 75

4.3.4 Modelo sugerido para mitigar riesgos ........................................................................... 75

4.3.4.1 Riesgo 1: DAÑO SEVERO EN RED DE DATOS ......................................... 77

Procedimiento de Recuperación ................................................................................... 77

Procedimiento de Operación Alterna .......................................................................... 77

Procedimiento de Restauración .................................................................................... 77

4.3.4.2 Riesgo 2: INFECCIÓN GENERAL DE VIRUS ............................................. 78




4.3.4.3 Riesgo 3: DESASTRE GENERAL QUE IMPIDA EL USO NORMAL DE INSTALACIONES DEL CENTRO DE CÓMPUTO ............................................... 80




4.3.4.4 Riesgo 4: DAÑO IRRECUPERABLE EN HARDWARE O SOFTWARE DE SERVIDOR DE PRODUCCIÓN DE BASE DE DATOS ........................................ 83

Procedimiento de Recuperación................................................................................... 83


Procedimiento de Restauración ................................................................................... 84

4.3.5 Conclusiones y Recomendaciones ................................................................................. 85

REFERENCIAS .......................................................................................................................... 86

ANEXOS ..................................................................................................................................... 89

Listado de Especialistas ........................................................................................................... 91

ÍNDICE DE TABLAS

Tabla 1 - Servicios financieros con cargo básico ................................................................. 42

Tabla 2 - - Servicios financieros con cargo máximo ........................................................... 43

Tabla 3 - - Servicios financieros con cargo diferenciado .................................................... 44

Tabla 4 - Cuestionario tipo encuesta de actividades ilícitas utilizando las TICs en las

Instituciones bancarias dirigida a Clientes/Usuarios de la Banca ......................................... 52

Tabla 5 - Cuestionario de conocimientos sobre actividades ilícitas utilizando las TICs en las

Instituciones bancarias dirigida a Gerentes/Jefes de áreas informáticas, sistemas o de

Seguridad .............................................................................................................................. 54

Tabla 6 - Cuestionario de conocimientos sobre actividades ilícitas utilizando las TICs en las

Instituciones bancarias dirigida a Abogados especialistas en delitos informáticos .............. 57

Tabla 7- Clientes de bancas .................................................................................................. 60

Tabla 8 - Transacciones electrónicas .................................................................................... 61

Tabla 9 - Medio utilizado ..................................................................................................... 62

Tabla 10 - Afectado por ilícitos ............................................................................................ 63

Tabla 11 - Soluciones a ilícitos ............................................................................................. 64

Tabla 12 - Seguridad bancaria .............................................................................................. 65

Tabla 13 - Denuncias ............................................................................................................ 66

Tabla 14 - Soluciones a denuncias ........................................................................................ 67

Tabla 15 - Seguridad transaccional ....................................................................................... 68

Tabla 16 - Gestión de Administración de Justicia ................................................................ 69

ÍNDICE DE ILUSTRACIONES

Ilustración 1 - Casos de Phishing a nivel mundial 2005-2018 ............................................... 9

Ilustración 2 - Comportamiento Phishing 2005-2018 ............................................................ 9

Ilustración 3 - Composición de un número de tarjeta bancaria ............................................ 11

Ilustración 4 - Ejemplos de numeros BIN ............................................................................ 11

Ilustración 5 - Técnica Rounding Down ............................................................................... 12

Ilustración 6 - Como funciona el Skimming ........................................................................ 14

Ilustración 7 Estadísticas ransomware Latinoamérica 2018.............................................. 15

Ilustración 8 - Ejemplo de ataque MITM ............................................................................. 18

Ilustración 9 - Contactless, riesgos y mitos .......................................................................... 21

Ilustración 10 - Tipos de Keylogger Serial/USB .................................................................. 19

Ilustración 11 - Fichero creado por un Keylogger ................................................................ 19

Ilustración 12 - Teclado Virtual IESS .................................................................................. 20

Ilustración 13 - Normativas aplicables al delito informático en el Ecuador ......................... 24

Ilustración 14 - Los delitos informáticos FGE ..................................................................... 30

Ilustración 15 - Superintendencia de Bancos ....................................................................... 32

Ilustración 16 - Servicio de rentas Internas ......................................................................... 33

Ilustración 17 - Composición del Sector Financiero Ecuatoriano ........................................ 41

Ilustración 18 - Productos y Servicios Banca Virtual, Banco de Guayaquil ........................ 45

Ilustración 19 - App Banca Móvil Banco Pichincha ............................................................ 46

Ilustración 20 - Opciones Banca Virtual Banco de Guayaquil ............................................. 46

Ilustración 21 - Contactless .................................................................................................. 48

Ilustración 22 - Clientes de banca......................................................................................... 60

Ilustración 23 - Transacciones electrónicas .......................................................................... 61

Ilustración 24 - Medio utilizado ........................................................................................... 62

Ilustración 25 - Afectados por ilícitos .................................................................................. 63

Ilustración 26 - Soluciones a ilícitos..................................................................................... 64

Ilustración 27 - Seguridad bancaria ...................................................................................... 65

Ilustración 28 - Denuncias .................................................................................................... 66

Ilustración 29 - Soluciones a denuncias ............................................................................... 67

Ilustración 30 - Seguridad Transaccional ............................................................................. 68

Ilustración 31 - Gestión de Administración de Justicia ........................................................ 69

1

CAPÍTULO I

PLANTEAMIENTODEL PROBLEMA

1.1 Antecedentes del problema

Las instituciones bancarias se han visto profundamente transformadas con la

aparición de las nuevas tecnologías de la información y las comunicaciones (TICs). Casi en

la totalidad de las industrias y los negocios las tecnologías de información son

prácticamente indispensables y el tráfico transaccional de las organizaciones ha aumentado

considerablemente generando de la misma manera inconvenientes en el control de las

actividades realizadas en estas plataformas.

El medio electrónico en las instituciones bancarias se ha vuelto una herramienta

muy utilizada para el servicio de sus clientes y por ende se ha convertido en un blanco para

cometer diferentes actos ilegales tales como extorsión, robo, fraude, suplantación de

identidad, entre otros.

La delincuencia informática en el ámbito financiero bancario es difícil de

comprender o conceptualizar plenamente e implica la utilización de tecnologías para la

comisión del delito; así como controles desde el punto de vista técnico-informático que se

ajusten a las normativas nacionales. El ambiente virtual e intangible de esta forma de delito,

origina confusión al momento efectuarse su tipificación y al realizar las investigaciones por

parte de la Policía Nacional; de igual manera los jueces y fiscales, tienen poco

conocimiento y experiencia en el manejo de esta área del Derecho Informático.

Según las estadísticas del mes de Julio del 2018, de la Superintendencia de

Telecomunicaciones en Ecuador, hay alrededor de 3´529.713 usuarios de Internet, de los

cuales según la Superintendencia de Bancos un 50% realizan transacciones de algún tipo en

portales de instituciones bancarias, los cuales corren un alto riesgo de ser perjudicados

2

mediante actos delictivos como estafa, un ataque de phishing u otros, relacionados con las

tecnologías; al existir gran cantidad de tráfico transaccional es propensa a ser atacada o a

sufrir fallos durante la ejecución de una petición en general.

Los bancos son las víctimas preferidas de los ataques informáticos. En el Ecuador se

observa que el avance de la modalidad banca virtual es progresivo, debido entre otros

factores a la desconfianza del público. Desde hace varios años, los bancos en el país

ofrecen transacciones por Internet, lo cual los hacen más competitivos, favoreciendo al

cliente y a la institución bancaria.

De ese modo, las transacciones son más económicas en Internet que por ventanilla,

el horario de atención pasa de 8 horas diarias, a 24 horas durante los 365 días del año, de

esta manera se optimiza tiempo y dinero, además de la comodidad a sus clientes, quienes

pueden realizar operaciones desde su casa u oficina sin necesidad de largas filas.

1.2 Planteamiento del problema

La investigación y análisis de la delincuencia informática a través de las TICS, no es

una tarea fácil, ya que la mayoría de los datos probatorios son intangibles y transitorios.

Los investigadores de delitos cibernéticos buscan vestigios digitales que de acuerdo a sus

características suelen ser volátiles y de vida corta. Es preciso considerar que el internet

brinda grandes beneficios a los usuarios de la banca, pero su fácil acceso también podría

perjudicarlos.

La gestión transaccional en el mundo de la banca virtual es tan peligrosa como en el

mundo físico ya que en muchas ocasiones el usuario siente más confianza al navegar desde

casa sin darnos cuenta de que estamos abriendo las puertas a diferentes actividades ilícitas.

3

Muchos de estos delitos pueden ser prevenidos por el usuario cambiando hábitos al

momento de navegar por internet, protegiendo nuestros dispositivos electrónicos; y del lado

de las instituciones con la utilización de controles y normativas que sean aplicadas por los

entes reguladores. En estos casos cabe la prevención de parte del usuario-cliente y de las

instituciones financieras.

Es imprescindible que el sector bancario elabore y profundice en los requerimientos

necesarios para la prevención de posibles actividades ilícitas en las instituciones bancarias

con la utilización de las TICS.

Así mismo es muy importante que el estado asuma y adopte medidas necesarias,

para fijar los delitos del crimen informático, ya que el derecho penal tiene una finalidad

preventiva, y al tipificarlos, se evitaría que se cometa dichos delitos.

Una tipificación de un delito, tiene que ver con la descripción de actos ilegales que

puedes ser por acción u omisión, que son considerados como delitos. Suele afirmarse que

un acto es típico cuando encuadra o encaja en un tipo penal; si un acto encaja en lo

tipificado como delito, se considerar como tal.

La tipificación de los delitos informáticos es muy importante, ya que se ha

evidenciado que, si no están establecidas dentro del marco normativo, sea dentro del

Código Penal o en una ley especial, las conductas ilegales no podrán ser objeto de sanción,

conforme a la vigencia del principio de legalidad.

1.3 Sistematización del problema

1. ¿Qué es el delito informático?

2. ¿Es posible prevenirlos delitos informáticos por las instituciones

bancarias?

4

3. ¿Cuáles son los beneficios de la prevención de los delitos

informáticos en las instituciones bancarias?

4. ¿Genera costos la prevención de los delitos informáticos en las

instituciones bancarias?

5. ¿Por qué es importante la prevención de los delitos informáticos en

las instituciones bancarias?

1.3.1 Planteamiento de las hipótesis

La caracterización de los delitos informáticos mediante el análisis de su taxonomía

facilitará un mayor control y seguridad en las transacciones del sistema en las instituciones

bancarias fomentando un ambiente de seguridad de la información.

1.3.2 Objetivo general

Caracterizar los delitos informáticos mediante el análisis de la taxonomía en las

instituciones bancarias.

1.3.3 Objetivos específicos

Identificar las falencias en el ámbito de las transacciones electrónicas

en las instituciones bancarias en el Ecuador.

5

Plantear mejoras que se puedan incluir en la normativa existente para

el ámbito de las transacciones electrónicas en las instituciones bancarias en el

Ecuador.

Proponer cambios relevantes en las instituciones bancarias en el

Ecuador como medida de prevención ante los delitos informáticos.

1.3.4 Justificación de la investigación

La problemática en las instituciones financieras a nivel nacional es el

desconocimiento en el ámbito informático y tecnológico por parte los administradores de

justicia, donde existen diversos delitos, y no hay la información necesaria para

diagnosticarlos y por ende tampoco una sanción respectiva para estos.

Es indispensable para las instituciones bancarias que integren en su equipo de

colaboradores profesionales en seguridad informática que tengan conocimiento de las

amenazas existentes, para que puedan analizar debidamente este tipo de delitos y proteger

los sistemas y usos por parte del usuario final.

Como iniciativa de parte de las instituciones financieras en el marco de la

criminalidad informática necesitan tener:

Capacidad de diferenciar los delitos informáticos del resto y de

definir su tratamiento dentro del marco legal existente.

Tener especialistas académicos y no empíricos en el tratamiento de

los delitos informáticos.

Establecer medidas de protección de sus sistemas, así como

normativas para los usuarios finales.

6

Se justifica esta investigación ante la necesidad de que el sector bancario establezca

el contexto necesario técnico e informático legal para prevenir actividades ilícitas en las

instituciones bancarias con la utilización de las TICS; aplicando la prevención de parte de

las instituciones bancarias como de los usuarios.

1.3.5 Viabilidad del estudio

Este proceso de investigación se enfoca en la recopilación de información en base al

análisis de la taxonomía de los delitos informáticos en el sector bancario del Ecuador en el

período 2014-2019.

Como se ha establecido en este documento, la normativa ecuatoriana en el ámbito

informático-legal está en proceso de desarrollo al no existir legislación específica como una

ley de delitos informáticos; ni del ente regulador de las instituciones bancarias llámese

Superintendencia de Bancos en esta materia; sin embargo con la legislación del COIP

(Código Orgánico Integral Penal) desde el 2014 ya ha generado sentencias con resultados

acordes a la necesidad de la sociedad y que nos dan pautas para el estudio en las

instituciones bancarias que es uno de los sectores más vulnerables.

La investigación y el desarrollo de este trabajo se consideran viables gracias la

información publicada por la Superintendencia de Bancos, Fiscalía General del Estado, así

como de la Defensoría del Pueblo.

7

CAPÍTULO II

MARCO TEÓRICO

Para nuestro marco teórico comenzaremos detallando los tipos de delitos

informáticos más relevantes y conocidos en el sector bancario, indicaremos su modus

operandi, datos estadísticos y demás generalidades.

2.1 Delitos informáticos-bancarios

Según Marlon Altamirano, experto en ciberseguridad y CEO de NCSA, academia

duplicación o clonación de tarjetas (crédito y débito), el robo de identidad o suplantación de

identidad, uso de dispositivos para tratar de robar contraseñas bancarias y realizar ataques

financiero, es aquel que, con el propósito de obtener información privada, como claves de

cuentas bancarias, así como correos electrónicos, hacen llamadas a los clientes o envían

correos maliciosos. Asimismo, el robo de datos de propiedad intelectual, la clonación de

tarjetas, entre otros, infringen no solo a la entidad bancaria, sino también al cliente de la

entidad bancaria, pudiendo extraer los ahorros de toda una vida.

2.1.1 Fraude Bancario

Es la acción dolosa que provoca un perjuicio a un tercero, con la información

obtenida hacen traspasos bancarios, venden información y hasta extorsionar a los

propietarios de las claves.

-line, los autores del fraude, con las claves en su poder,

suelen abrir de modo simultáneo una cuenta bancaria a la que remiten el dinero

8

mediante transferencias on-line. Estas cuentas se situarán normalmente en

sucursales bancarias de terceros países a son de acceden para retirar el dinero. Para

ejecutar estafas de importantes partidas de dinero, los autores suelen fraccionar las

transferencias a diferentes entidades bancarias, aunque muy próximas

geográficamente, de manera que el cobro se pueda materializar en un breve espacio

2.1.2 Phishing

Es un término que indica un fraude informático, en el cual, mediante el uso de

ingeniería social (la cual se basa en reacciones humanas para engañar a usuarios), se intenta

obtener nombres de usuario, contraseñas, tarjeta de coordenadas, etc. de forma ilícita o

fraudulenta.

Daños Causados. Los principales daños provocados por el phishing son:

o Robo de identidad y datos confidenciales de los usuarios.

o Pérdidas económicas para los usuarios.

o Impedir el acceso a sus propias cuentas

o Pérdida de productividad

o Consumo de recursos de las redes corporativas (ancho de

banda, saturación del correo, etc.).

A continuación, se muestra una tabla resumida de mails falsos del 2005 al 2018 por parte

de la APWG (Anti-Phishing Working Group) y la fundación europea contra el ciberdelito:

9

Ilustración 1 - Casos de Phishing a nivel mundial 2005-2018

Fuente: Elaboración propia

Elaborado por: Julián Angulo y Mariana Córdova

Se puede verificar en la ilustración que a lo largo de los años el número de intentos

de fraudes por phishing ha aumentado considerablemente. En el 2005 solo hubo 173.000

casos, mientras que en el 2018 superó el millón. Sin embargo, gracias a campañas de

concienciación de las personas en contra de este delito se denota una disminución desde el

año 2016.

Ilustración 2 - Comportamiento Phishing 2005-2018



10

l, es

más probable que la gente haga clic en ese enlace y se descargue algún tipo de virus.

Cuando hay temas de interés, sea a nivel mundial, sea a nivel regional, se puede apreciar

una variabilidad en la frecuencia de ataques. Sí hay temas que provocan mayor tráfico por

phisher

países en que las leyes les permite salir impune. Para llevar a cabo este método se utiliza

aplicaciones y paginas falsas, mails o el envío de mensajes por redes sociales.

2.1.3 Ataque BIN

El termino BIN se refiere a la secuencia de los 6 primeros números en las tarjetas de

crédito, con este se realiza una nueva modalidad de delito informático-bancario, muy

popular en América del Sur y en México.

Es necesario tener esta secuencia y la fecha de expiración para realizar la estafa.

Se pueden usar más números para generar números válidos.

Por ejemplo, un número BIN podría ser:

1234 5678 XXXX 5432

11

Ilustración 3 - Composición de un número de tarjeta bancaria

Fuente: Blog Marc Rabadan (02/08/2016)


El primer paso es generar muchos números validos a partir del BIN de una tarjeta

propia o robada, esto se lo puede realizar ya que no son totalmente aleatorios.

Ilustración 4 - Ejemplos de números BIN

Fuente: https://www.bankbinlist.com/bin-list-ecuador.html?hl=es Elaborado por: Julián Angulo y Mariana Córdova

Luego se prueban estos números generados con transacciones menores de $10.00,

para lo cual se usa la misma fecha de caducidad ya que las tarjetas con secuencia parecida

generalmente tienen la misma fecha.

https://www.bankbinlist.com/bin-list-ecuador.html?hl=es

12

Por último, los números exitosos en las transacciones se los utiliza en sitios de venta

por internet que no soliciten el código de seguridad de la tarjeta; cuando el banco se entera

del fraude devuelve el valor de la transacción a sus clientes, y los vendedores cargan con el

costo de este al no haber tomado medidas necesarias.

2.1.4 Rounding Down o Técnica del Salami

Esta técnica consiste en el desvió de pequeñas cantidades de dinero de cuentas con

montos altos, al igual que un salami al cortarlo en rodajas muy pequeñas, este no sufre una

reducción considerable y así esta acción pasa completamente inadvertida, generalmente se

atacan equipos Unix los cuales se utilizan para operaciones financieras.

Los programas denominados Salami son muy difíciles de detectar, estos podrían

salir a la luz con una auditoria extremadamente minuciosa y compleja.

Ilustración 5 - Técnica Rounding Down



Un caso muy común se dio en EEUU, entre los años 2006 y 2010 delincuentes

cibernéticos realizaron 1.35 millones de cargos fraudulentos, de los cuales tan solo 79.000

usuarios lograron darse cuenta; este dinero se cargaba en las tarjetas de compañías falsas y

13

se redirigían a cuentas creadas en el extranjero; los valores fluctuaban de $0.25 ctvs. a

$9.00 dólares; debido a estos pequeños montos el fraude se realizó durante 4 años seguidos

logrando pasar inadvertidos.

En esta técnica se utilizan programas de redondeo hacia abajo (rounding down), los

cuales aprovechan los cálculos en el sistema bancario para obtener dinero de muy baja

denominación; ejemplo, se coloca $35.50 en una cuenta con interés fijo del 7.15%, el

rendimiento anual seria $253.825, el roundingdown redondea a $253.82, y el $0.005

restante se acumula en cuentas hasta que se alcancen montos muy altos para que el

delincuente aproveche la situación.

Si suponemos que se realizan millones de estos redondeos diariamente nos daremos

cuenta del valor que se acumularía al final en poco tiempo.

2.1.5 Skimming o clonación de tarjetas

Este método consiste en la duplicación de tarjetas para su posterior uso delictivo, se

presentan en cajeros automáticos modificados, gasolineras, restaurantes, bares en los cuales

los dueños se prestan para proveer de esta información obtenida a los ciberdelincuentes.

Al realizar una compra se capturan los datos almacenados en las bandas magnéticas

por medio de un dispositivo llamado skimmer colocado generalmente en el mecanismo de

deslizamiento de los lectores de tarjetas, estos datos son: fecha de expiración, número de

tarjeta, nombre del titular y el CVV (número de seguridad que aparece en el reverso de las

tarjetas).

Con estos datos se realizan compras por internet o se falsifican tarjetas de crédito

para su uso indebido.

14

Algunos skimmers viene acompañados de una cámara diminuta para capturar el

ingreso del numero PIN.

En la ilustración se observa un cajero alterado para la clonación de tarjetas y las

formas de detectar esta modificación.

Ilustración 6 - Como funciona el Skimming



2.1.6 Ransonware

Es un tipo de software dañino que bloquea el sistema de acceso de la víctima y

encripta los ficheros hasta que se le entregue dinero o datos al atacante; este software solo

puede ser desbloqueado por expertos en seguridad informática y recuperación de datos.

Normalmente este software ataca a organizaciones con información relevante,

aparece visitando un sitio web infectado, o incrustado en un documento adjunto de un

correo electrónico el cual contiene un troyano. Es la principal amenaza para la seguridad

15

informática en los últimos años ya que sus réditos se colocan en cientos de miles de

dólares.

El 'ransomware' tiene muchas variantes, una de ellas utilizadas por ladrones de datos

son los 'banners' maliciosos, de manera que en este caso cualquier persona puede ser

víctima y no solo los jugadores de los casinos online.

Los ataques de ransomware más grandes y nocivos que hubo en el año 2018 fueron

los de WannaCry y NotPetya, que afectaron a decenas de miles de computadores en más de

100 países.

Ecuador en el 2018 fue el país latinoamericano más afectado por el 'malware', según

datos extraídos del informe Eset Security Report, que destaca que tanto Ecuador como

Venezuela fueron los países más infectados por códigos maliciosos, alcanzando

conjuntamente un 22% en contraste con el 13% de El Salvador.

Ilustración 7 Estadísticas ransomware Latinoamérica 2018

Fuente: Eset Security Report 2018


https://www.welivesecurity.com/la-es/2018/06/19/eset-security-report-2018-el-estado-de-la-seguridad-de-la-informacion-en-las-empresas-de-la-region/

16

A pesar del dramático éxito que está experimentando actualmente el ransomware,

acerca del cuál conocimos datos relativos a Ecuador, la variedad de ataques que

experimentan los usuarios y empresas ecuatorianas es bastante amplia. Sin embargo, uno

destaca de entre todos: el phishing. Para el público en general, se especifica un tipo

concreto: el phishing con fraude: «Es consistente con las motivaciones de los hackers.

Finalmente, la gran mayoría de actividad de hackers tiene que ver con un interés económico

que se capitaliza por medio del fraude. Otros motivantes como el hacktivismo, motivos

políticos y sociales, tienen cierta incidencia, pero no es comparable el volumen de actividad

que se ve en uno versus el otro». (Salazar, 2018).

Según una investigación realizada por la NTT Security indico que los secuestros de

información o ransomware se incrementó en un 350% en el 2018 en relación al año

anterior.

2.1.7 Bombas lógicas

Es una especie de bomba de tiempo que debe producir daños posteriormente. Exige

conocimientos especializados ya que requiere la programación de la destrucción o

modificación de datos en un momento dado del futuro. Ahora bien, al contrario de los virus

o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso,

de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el

máximo potencial de daño. (pino, 2005)

Su detonación puede programarse para que cause el máximo de daño y para que

tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba

lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate

a cambio de dar a conocer el lugar en donde se halla la bomba. (pino, 2005)

17

Las bombas lógicas son colocadas generalmente en el sistema informático a través

del método de Caballo de Troya. (pino, 2005)

or informático y se activan solo con

un comando específico como la fecha, números y entre otros. Con la finalidad de destruir o

2.1.8 Ataque Man-In-The-Middle

También es conocido como ataque de intermediario, este ataque lee, modifica

mensajes entre dos personas sin su conocimiento; este fraude roba información del usuario

como por ejemplo los datos al realizar una compra online.

Este ataque incluye subataques como: interceptación de la comunicación, ataque de

denegación de servicios, ataque de sustitución y ataque de repetición; y generalmente

emplea 4 técnicas específicas:

ARP Spoofing: se realiza directo en las redes ethernet, captura el tráfico en las LAN

aplicándole una denegación de servicio y modifica la ARP, la cual es responsable de

encontrar la MAC de una IP.

Port Stealing: en esta técnica se envían muchos paquetes ethernet con la MAC de la

víctima como origen y la MAC de destino del atacante; de esta manera el switch se conecta

con él, le envía dichos paquetes, podrá leerlos, modificarlos y reenviarlos a la víctima.

DNS Spoofing: con esta técnica se modifica la cache o se realiza un ID Spoofing

para enviar respuestas falsas a solicitudes de DNS de la víctima.

DHCP Spoofing: aquí el atacante envía información errónea a un dispositivo en una

red, respondiéndole antes que el servidor de DHCP e indicándole que el dispositivo del

18

atacante es la puerta de enlace (Gateway); para así asignarle una dirección IP y lograr

conectarse con la victima

Ilustración 8 - Ejemplo de ataque MITM

Fuente: iplocation.net/man-in-the-middle 11/09/2017


2.1.9 Keylogger

Normalmente los Keylogger son usados como medidas de supervisión, por ejemplo,

en las empresas se puede controlar el acceso a internet de los empleados, o en una familia

los padres controlar lo que los hijos realizan en internet. Pero a su vez esta tecnología ha

sido usada para realizar ataques donde se utilizan dispositivos (USB o seriales) o programas

fáciles de adquirir que se instalan de manera sencilla en computadores o dispositivos

móviles y sirven para almacenar en un archivo todo lo que el usuario digite, por ejemplo,

claves, contraseñas, números de tarjetas de crédito, etc.

19

Ilustración 9 - Tipos de Keylogger Serial/USB

Fuente: Google Imágenes


El tamaño y peso de estos archivos son similares a los de un documento .txt y es

frecuente que se adjunten en falsos correos con el nombre de instituciones bancarias que

solicitan una instalación de algún ejecutable, esto permite el monitoreo de la acción del

teclado de la víctima.

Ilustración 10 - Fichero creado por un Keylogger

Fuente: Google Imágenes


La página de seguro social cuenta con un teclado virtual como medida de protección

de estos fraudes como vemos en la imagen:

20

Fuente: Portal Web IESS

Ilustración 11 - Teclado Virtual IESS


2.1.10 Ataques a tecnología Contactless

Se especula que la utilización de esta tecnología puede conllevar a ser objeto de un

tipo de robo por parte de los llamados cibercarteristas, los cuales aprovecharían las

aglomeraciones de personas para acercar un dispositivo (datafono) a los bolsillos o carteras

y cometer delitos como robo de dinero, información o clonación de tarjetas (Skimming).

Pero según investigamos en ciertos artículos se toman estas especulaciones como

simplemente eso; según un artículo de la BBC, Miguel Herrero y Ricardo Rodríguez

especialistas en informática afirman que:

La tarjeta debe estar muy cerca de los delincuentes y que esta no se

moviera en ningún momento

La comunicación es muy sensible a movimientos y se corta la

transmisión rápidamente.

21

Al inicio se incluía el nombre del titular en el chip, pero por

seguridad se mantiene solo impreso en la tarjeta, con esto el fraude de robo de datos

se vuelve más complicado.

Ilustración 12 - Contactless, riesgos y mitos

Fuente: El Universo Doctor Tecno 07/06/2019


2.2 Campos de estudio

Ahora para enmarcar los conceptos teóricos de este trabajo, distinguiremos 3

campos de estudio en los que se consideraran diferentes aspectos:

Los Aspectos legales

Los Aspectos técnicos

Y de los Servicios Financieros en las entidades bancarias

A continuación, describiremos cada uno de estos aspectos:

2.2.1 Aspectos Legales

2.2.1.1 Que es la tipificación de un Delito?

Para responder esta pregunta primero veamos un concepto de delito:

Según Eugenio antijurídica,

típica, culpable

http://www.enciclopedia-juridica.biz14.com/d/culpable/culpable.htm

22

El problema está en definir y entender cada uno de estos elementos, pues para que

exista delito deben estar presentes los tres.

Empecemos por el final, la culpabilidad es la intención subjetiva de una persona

que lo lleva a cometer una determinada acción. La antijurícidad implica que dicha acción

debe ir contra del ordenamiento jurídico, es decir, contra lo marcado como aceptable por las

normas del Derecho. Y, la tipicidad o tipificación se refiere a que esa acción debe

señalarse como prohibida o como delito en artículos de la norma que regule esa materia en

cada país (en Ecuador el Código Orgánico Integral Penal).

El progreso tecnológico que ha experimentado la sociedad, supondría una evolución

en la tipificación o tipicidad de los delitos informáticos considerando las nuevas formas de

infringir la ley. Esta situación ha motivado un debate en torno a la necesidad de diferenciar

o no los delitos informáticos del resto y de definir su tratamiento dentro del marco legal

correspondiente.

María de la Luz Lima, doctora mexicana experta en delitos cibernéticos y ciencias

criminógena o criminal que en su realización hace uso de la tecnología electrónica ya sea

icto, el delito informático, es

Julio Téllez Valdés, mexicano doctor en derecho informático, conceptualiza al

2016).

23

El Convenio de Cyber-delincuencia del Consejo de Europa, define a los delitos

disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso

Podemos notar en las definiciones establecidas en los párrafos anteriores que no

existe una definición de carácter universal de lo que es un delito informático, sin embargo,

debemos resaltar que han sido esfuerzos aislados de ciertos especialistas que han

profundizado en el tema pudiendo encasillar parte de los temas en esta área de la

criminalística.

Es preciso señalar que la última definición brindada por el convenio de cyber-

delincuencia del Consejo de Europa con respecto a delitos informáticos anota especial

cuidado en los pilares de la seguridad de la información: la confidencialidad, integridad y

disponibilidad.

El delito informático involucra acciones criminales que en primera instancia los

países han tratado de poner en figuras típicas, tales como: robo, fraudes, falsificaciones,

estafa, sabotaje, entre otros, por ello, es primordial mencionar que el uso indebido de las

computadoras es lo que ha creado la necesidad imperante de establecer regulaciones por

parte de la legislación.

24

2.2.1.2 Normativas aplicables al delito informático en el Ecuador

Ilustración 13 - Normativas aplicables al delito informático en el Ecuador



2.2.1.3 Ley Orgánica de Instituciones del Sistema Financiero.

Esta Ley regula la creación, organización, actividades, funcionamiento y extinción

de las instituciones del sistema financiero privado, así como la organización y funciones de

la Superintendencia de Bancos, entidad encargada de la supervisión y control del sistema

financiero, en todo lo cual se tiene presente la protección de los intereses del público.

(Nacional, Ley Orgánica de Instituciones del Sistema Financiero, 2014).

Las instituciones financieras bancarias, las compañías de seguros y de reaseguros se

rigen por sus propias leyes en lo relativo a su creación, actividades, funcionamiento y

organización. Se someterán a esta Ley en lo relacionado a la aplicación de normas de

solvencia y prudencia financiera y al control y vigilancia que realizará la Superintendencia

dentro del marco legal que regula a estas instituciones en todo cuanto fuere aplicable según

su naturaleza jurídica. La Superintendencia aplicará las normas que esta Ley contiene sobre

25

liquidación forzosa, cuando existan causales que así lo ameriten. (Nacional, Ley Orgánica

de Instituciones del Sistema Financiero, 2014)

2.2.1.4 Ley Orgánica de Transparencia y Acceso a la Información Bancaria.

La ley establece que todas las instituciones del sector público pongan a disposición

de la ciudadanía, el libre acceso a la información institucional (estructura orgánica, bases

legales, regulaciones, metas, objetivos, presupuestos, resultados de auditorías, etc.), a través

de sus sitios web, bajo este mismo contexto las disposiciones contenidas en la Constitución

Política del Ecuador vigente, en su capítulo tercero de las Garantías Jurisdiccionales de sus

secciones cuarta y quinta de los Art. 91 y 92 sobre la acción de acceso a la información

bancaria y acción de Habeas Data, también se establece dichas garantías. (Nacional, Ley

Orgánica de Transparencia y Acceso a la Información Pública, 2004).

2.2.1.5 Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos

La Ley contiene los principios jurídicos que regirán las transmisiones de los

mensajes de datos. Se le concede pleno valor y eficacia jurídica a los mensajes de datos,

tanto a su información como a su contenido general; la interpretación de la Ley y el

ejercicio de la Propiedad Intelectual se rigen por la legislación ecuatoriana y por los

tratados internacionales incorporados al cuerpo legal ecuatoriano. (Nacional, Ley de

Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, 2002).

Se protege la confidencialidad de los mensajes de datos en sus diversas formas,

señalando lo que se entenderá por tal concepto y su violación. Se equipara el documento

escrito con el documento electrónico para el caso en que se requiera la presentación de un

documento escrito, procediendo de igual manera con el documento original y la

26

información contenida en él, siempre y cuando exista garantía de su conservación

inalterable.(Nacional, Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de

Datos, 2002).

2.2.1.6 Ley de Propiedad Intelectual (Código Ingenios).

El presente Código tiene por objeto normar el Sistema Nacional de Ciencia,

Tecnología, Innovación y Saberes Ancestrales previsto en la Constitución de la República

del Ecuador y su articulación principalmente con el Sistema Nacional de Educación, el

Sistema de Educación Superior y el Sistema Nacional de Cultura, con la finalidad de

establecer un marco legal en el que se estructure la economía social de los conocimientos,

la creatividad y la innovación. (Nacional, Código Orgánico de Economía Social del

Conocimiento e Innovación, 2016)

Las actividades relacionadas a la economía social de los conocimientos, la

creatividad y la innovación son aquellas enfocadas a la creación de valor a partir del uso

intensivo de la generación, transmisión, gestión y aprovechamiento del bien de interés

público conocimiento, que incluye los conocimientos tradicionales; promoviendo en todos

los sectores sociales y productivos la colaboración y potenciación de las capacidades

individuales y sociales, la democratización, distribución equitativa, y aprovechamiento

eficiente de los recursos en armonía con la naturaleza, dirigido a la obtención del buen

vivir. (Nacional, Código Orgánico de Economía Social del Conocimiento e Innovación,

2016).

27

2.2.1.7 Ley de Habeas Data.

Esta herramienta procesal es efectiva, únicamente cuando existe una trasgresión o

amenaza contra la privacidad.

La información computarizada de carácter personal y privado contenida en las bases

telemáticos, lesionando el derecho de la intimidad tratándose de personas naturales y el

derecho a la confidencialidad tratándose de personas jurídicas. Ante esta realidad el

Derecho ha examinado mecanismos que permitan proteger jurídicamente de manera

eficiente la información de carácter privado, uno de estos mecanismos es el Habeas

Data.(Ormaza, 2015)

Como bien hemos anotado, el espíritu del Hábeas Data está orientado a evitar que se

afecte la intimidad de las personas; sin embargo, el artículo 36 de la Ley de Control

Constitucional hace mención a cláusulas especiales que debe tener en cuenta el juez al

momento de resolver un Hábeas Data, y que desde luego son factores determinantes para

declarar la improcedencia de su accionar,

a) Que los documentos, banco de datos e informes se relacionen

directamente con la persona, es decir, que involucre su intimidad; y, la otra, que

verse sobre sus bienes, esto supone el ánimo del señor y dueño existente sobre el

bien.

b) Otra condición que debe concurrir es aquella consistente en que la

información debe constar ya sea en entidades bancarias, o bien, en las privadas. El

objetivo es conocer que va a suceder con esa información.(Ormaza, 2015)

28

En conclusión, no procede esta acción cuando se afecta el sigilo profesional; se

pueda obstruir la acción de la justicia; o bien, cuando la información requerida sea

considerada secreta por razones de seguridad nacional.

En suma, el Hábeas Data, no es un recurso, es una acción, que tiene como elemento

principal la intervención del juez.(Ormaza, 2015)

2.2.1.8 Código Orgánico Integral Penal.

Este Código tiene como finalidad normar el poder punitivo del Estado, tipificar las

infracciones penales, establecer el procedimiento para el juzgamiento de las personas con

estricta observancia del debido proceso, promover la rehabilitación social de las personas

sentenciadas y la reparación integral de las víctimas. (Nacional, Código Orgánico Integral

Penal, 2014).

En relación al impacto en el sistema judicial de las tecnologías de la información, se

ha elaborado dentro del COIP 6 normativas que pretenden solucionar o mitigar en algo la

falta de efectividad de la Administración de Justicia en función de estos delitos

electrónicos.

Incorpora una serie de infracciones delictivas, que se encuentran tipificadas y

sancionan de acuerdo a cada tipo penal, entre las que podríamos asociar con el sistema

bancario tenemos:

C.O.I.P. Art. 186.- Estafa. 5 a 7 años

C.O.I.P. Art. 190.- Apropiación fraudulenta por medios electrónicos. - 1 a 3 años

C.O.I.P. Art. 191.- Reprogramación o modificación de información de equipos

terminales móviles. - 1 a 3 años.

29

C.O.I.P. Art. 193.- Reemplazo de identificación de terminales móviles. - 1 a 3

años.

C.O.I.P. Art. 229.- Revelación ilegal de base de datos. - 1 a 3 años.

C.O.I.P. Art. 230.- Interceptación ilegal de datos. - 3 a 5 años.

C.O.I.P. Art. 231.- Transferencia electrónica de activo patrimonial. - 3 a 5 años.

C.O.I.P. Art. 232.- Ataque a la integridad de sistemas informáticos. - 3 a 5 años.

C.O.I.P. Art. 233.- Delitos contra la información bancaria reservada legalmente. - 5

a 7 años.

C.O.I.P. Art. 234.- Acceso no consentido a un sistema informático, telemático o de

telecomunicaciones. - 3 a 5 años.

Uno de los principales inconvenientes que se considera en un delito informático es

la obtención de la prueba para que sirva como un medio de juzgamiento dada la falta de

conocimiento y herramientas para obtenerlas en un proceso.

Internet abrió el paso a esas nuevas formas de delincuencia común y organizada que

pone en riesgo la información privada, la seguridad en la navegación y de las instituciones

bancarias y privadas.(Estado, 2019).

La Dirección de Política Criminal de la Fiscalía General del Estado registró 221

denuncias por delitos informáticos desde el 1 de Enero del 2019.(Estado, 2019).

30

Ilustración 14 - Los delitos informáticos FGE

Fuente: Fiscalía General del Estado

Tomado por: Julián Angulo y Mariana Córdova

2.2.1.9 Delitos financieros-bancarios

Los delitos más comunes en el ámbito bancario son los siguientes:

Falsificación En un negocio, la falsificación tiene lugar cuando un

empleado expide un cheque sin la adecuada autorización, lo endosa y lo presenta

para el pago de una compra local o para cobrarlo en la ventanilla de un banco,

utilizando probablemente una falsa identificación personal.

También puede comprender la fabricación completa de un cheque usando

equipo de impresión que incluya un computador, scanner, software sofisticado y

una impresora láser de alto grado.

31

Alteración La alteración se refiere al uso de químicos tales como

acetona, líquido de frenos y removedor de manchas o modificando la escritura a

mano y la información del cheque. Cuando se realiza en lugares específicos en el

totalidad

d

Robo de cheques Esto puede acontecer mediante la búsqueda de

cheques en el correo, o mediante la invasión en una casa o negocio, en el lugar en

donde se guardan los cheques.

Lavado de dinero Se refiere a dinero que se obtiene por actividades

ilegales y que necesita ser incorporado al sistema bancario de manera que pueda ser

movilizado eficientemente de un lugar a otro y guardado en forma segura. Se ha

para

Fraudes con Cuentas Nuevas Estas cuentas se abren fácilmente ya

que como los bancos están ansiosos de tener más clientes, los documentos pueden

ser falsificados con mucha facilidad; los altos costos de investigar la confiabilidad

de estas cuentas contribuyen a facilitar que se lleve a cabo este fraude. Al ser abierta

una nueva cuenta se establece un bajo perfil de riesgo de esta actividad, y se puede

llevar a cabo una amplia variedad de fraudes.

Malversación de fondos Las cuentas de un banco pueden ser

atacadas por cualquier persona que tenga un fácil acceso a ellas, existen

malversaciones en la banca bancaria y privada.

32

2.2.1.10 Características de dos delitos financieros

1. Son delitos no violentos que dan lugar a pérdidas económicas.

2. Son complicados a raíz de los adelantos rápidos en la tecnología.

3. Generalmente no son denunciados, ya que las instituciones optan por resolver

los incidentes internamente.

4. Existe la percepción de que se encuentran entre los delitos de más rápido

conocimiento.

5. Producen pérdida de credibilidad de las instituciones.

6. Su complejidad dificulta la tipificación de las conductas delictivas.

2.2.1.11 Entes reguladores de las Instituciones Bancarias en en el Ecuador

2.2.1.11.1 Superintendencia de Bancos

Ilustración 15 - Superintendencia de Bancos

Fuente: Sitio Web Servicio de Rentas Internas


33

El 6 de Septiembre de 1927, se estableció la supervisión de las operaciones

bancarias mediante la creación de la SUPERINTENDENCIA DE BANCOS, bajo

inspiración de la Misión Kemmerer (1925 1927), llamada así porque la presidió el doctor

Edwin Walter Kemmerer, la cual produjo en el país una verdadera transformación en el

ramo bancario y financiero al expedir leyes como: La Ley Orgánica de Bancos, la Ley

Orgánica del Banco Hipotecario (Banco Nacional de Fomento) y la Ley Orgánica del

Banco Central, que afianzaron el sistema financiero del país, así como otras leyes que

regularon el manejo de la Hacienda Bancaria.

La misión general de esta institución es de supervisar y controlar las actividades que

ejercen las entidades financieras y de seguridad social, bancarias y privadas, con el

propósito de proteger los intereses de la ciudadanía y fortalecer los sistemas

2.2.1.11.2 Servicio de Rentas Internas

Ilustración 16 - Servicio de rentas Internas

Fuente: Sitio Web Servicio de Rentas Internas


34

El Servicio de Rentas Internas nació el 2 de diciembre de 1997 basándose en los

principios de justicia y equidad, como respuesta a la alta evasión tributaria, alimentada por

la ausencia casi total de cultura tributaria. Desde su creación se ha destacado por ser una

institución independiente en la definición de políticas y estrategias de gestión que han

permitido que se maneje con equilibrio, transparencia y firmeza en la toma de decisiones,

aplicando de manera transparente tanto sus políticas como la legislación tributaria.(Internas,

2017)

Durante los últimos años se evidencia un enorme incremento en la recaudación de

impuestos a través de las instituciones bancarias. Entre los años 2012 y 2016 la recaudación

fue de 11.995 millones; mientras que en el período comprendido entre 2016 y 2018 la

recaudación se triplicó, superando 35.000 millones de dólares. La cifra alcanzada por el

SRI no se debe a reformas tributarias sino a la eficiencia en la gestión de la institución, a las

mejoras e implementación de sistemas de alta tecnología, desarrollo de productos

innovadores como la Facturación Electrónica, SRI móvil, servicios en línea, reducción de

costos indirectos a la ciudadanía y el afianzamiento de la cultura tributaria, además del

incremento significativo de transacciones electrónicas a través de las instituciones

bancarias.(Internas, 2017).

Según la Superintendencia de Bancos, el 76% de las transacciones que se realizaron

en instituciones financieras el 2018 se realizaron en canales electrónicos. Mientras que el

Banco Central informa que la tasa de crecimiento del uso de los medios de pago digitales

durante los últimos cinco años fue del 18%, pero entre 2017 y 2018 aumentó 33%.

De acuerdo a estos datos podemos denotar claramente como las

transacciones bancarias han aumentado en los últimos años. Sin embargo, a su vez esa

situación provoca riesgos, ya que dichas transacciones implican información personal como

35

La seguridad es esencial al momento de realizar transacciones bancarias

mediante el Internet, contar con un sitio web seguro y confiable es un elemento clave para

nformáticos necesariamente está revestida de un

procedimiento técnico, como interceptación de comunicaciones, peritajes para establecer

direcciones IP, para extraer información de memorias portátiles, para lo cual se requiere la

participación de expertos e

2016)

Es importante en toda institución bancaria contar con herramientas que garanticen la

correcta evaluación de los riesgos, y contar con procedimientos de control que pueda

evaluar el desempeño del entorno informático. (Alfonso, 2018).

2.2.2 Aspectos Técnicos

2.2.2.1 Seguridad Informática

El activo más importante en toda organización o institución es la información ya

que de ella depende el correcto funcionamiento de las actividades y procesos que se

realizan internamente en la institución, este grado de importancia aumenta

considerablemente si nos referimos a empresas con automatizaciones altamente calificadas.

Ante lo detallado anteriormente, la seguridad de la información sigue siendo el principal

factor de riesgo en las organizaciones ya que de esta depende su éxito o fracaso. (De la

Torre, 2018).

36

2.2.2.2 Conceptos básicos de Seguridad Informática

La seguridad informática contiene varios conceptos entre los cuales citaremos los

principales:

Integridad

Determinar si los datos han sido alterados durante una transmisión (accidental o

intencionalmente).

Confidencialidad

Asegurar que sólo los individuos autorizados tengan acceso a los recursos que se

intercambian, y que la información sea incomprensible para aquellos individuos ajenos o

que no estén involucrados en la operación.

Disponibilidad

Consiste en garantizar el correcto funcionamiento de los sistemas de información y

el acceso constante a un servicio o a los recursos.

Política de Seguridad.

La seguridad en los sistemas informáticos debe garantizar el acceso a datos y

recursos del sistema configurando los mecanismos de autentificación y control que

aseguren que los usuarios sólo posean los permisos y privilegios que se les debe ser

otorgado.

37

Administración de seguridad

Los procesos en esta área aseguran que la institución bancaria esté adecuadamente

direccionada a establecer, mantener y monitorizar un sistema interno de seguridad, que

tenga políticas de administración con respecto a la integridad y confidencialidad de la

información de la institución bancaria, y a la reducción de fraudes a niveles aceptables.

(Barrionuevo, 2014).

Operaciones de red y computacionales

Los procesos en esta área aseguran que los sistemas de información y entornos de

red están operados en un esquema seguro y protegido, y que las responsabilidades de

procesamiento de información son ejecutadas por personal operativo definido, medido y

monitoreado. También aseguran que los sistemas son consistentes y están disponibles a

los usuarios a un nivel de ejecución satisfactorio. (Barrionuevo, 2014).

Administración de sistemas de bases de datos

Los procesos en esta área están diseñados para asegurar que las bases de datos

usados para soportar aplicaciones críticas y reportes tengan consistencia de definición,

correspondan con los requerimientos y reduzcan el potencial de redundancia.

(Barrionuevo, 2014).

Redes

En esta área se refiere al acceso inapropiado al entorno de red y su procesamiento.

(Alfonso, 2018).

38

Inf ormación / Negocio

Los procesos en esta área están diseñados para asegurar que existe un plan

adecuado para asegurar que la tecnología informática estará disponible a los usuarios

cuando ellos la necesitan. (Barrionuevo, 2014).

Nivel físico

Protección física de dispositivos y un apropiado acceso a ellos. (Alfonso, 2018).

2.2.2.3 Opiniones de especialistas anónimos sobre seguridad en la banca.

Los responsables de la seguridad de los bancos sienten gran preocupación, aunque

sigue existiendo en este sector una ley del silencio que nos ha obligado a proteger a

nuestras fuentes, publicando solo sus iniciales y no sus nombres enteros, por temor a

posibles represalias laborales. CB, consultor y auditor habitual de sistemas bancarios,

asegura tras su obligado anonimato:

humor".(Molist, 2018)

Las auditorías que se suelen hacer una vez al año, dos si el banco es muy grande,

han llegado a mostrar agujeros como "poder listar los NIF de los clientes o los registros de

morosos, colarse en el sistema de documentación de hipotecas, transferir dinero sin validar

que la cuenta de origen es la tuya, o entrar en el banco físicamente y llevarte discos duros",

explica CB.(Molist, 2018)

La mayoría de estas auditorías solo pueden hacerse en las redes internas porque el

lío de proveedores es tan grande en el exterior, que es muy difícil conseguir todos los

permisos para realizar las pruebas. Las redes internas están protegidas por cortafuegos y

39

detectores de intrusos que deberían parar los ataques, pero la realidad no es tan evidente,

según CB: en un importante banco español los auditores pudieron entrar directamente,

evitando el cortafuegos.(Molist, 2018)

VX, ex auditor QSA y ISO27001, quien actualmente tiene un cargo de

responsabilidad en el departamento de seguridad de una entidad financiera de Barcelona, le

secunda: " Hay bancos que lo tienen todo tan externalizado que su propia gente no sabe qué

tiene" . CB añade: "Lo que tienen es un buen lío y el tiempo de los programadores se va en

documentarlo todo, procedimientos para arriba y para abajo, para poder paliar el no tener a

gente realmente buena".(Molist, 2018)

2.2.2.4 Cómo implementar una política de seguridad

Uno de los primeros pasos que debe dar una entidad bancaria es definir una política

de seguridad que se implemente de acuerdo con las siguientes cuatro etapas:

Identificar las necesidades de seguridad y los riesgos informáticos

que enfrenta la compañía, así como sus posibles consecuencias.

Proporcionar una perspectiva general de las reglas y los

procedimientos que deben implementarse para afrontar los riesgos identificados en

los diferentes departamentos de la organización.

Controlar y detectar las vulnerabilidades del sistema de información,

y mantenerse informado acerca de las falencias en las aplicaciones y en los

materiales que se usan.

Definir las acciones a realizar y las personas a contactar en caso de

detectar una amenaza.

40

La política de seguridad comprende todas las reglas de seguridad que sigue una

organización, por lo tanto, la administración de la entidad bancaria debe encargarse de

definirla, ya que afecta a todos los usuarios del sistema.

En este sentido, no son sólo los administradores de informática los encargados de

definir los derechos de acceso sino sus superiores. El rol de un administrador de

informática es el de asegurar que los recursos de informática y los derechos de acceso a

estos recursos coincidan con la política de seguridad definida por la organización.

El administrador es la única persona que conoce el sistema perfectamente, por

consiguiente, deberá proporcionar información acerca de la seguridad a sus superiores,

además de aconsejar a quienes toman las decisiones con respecto a las estrategias que

deben implementarse, y de esta manera constituir el punto de entrada de las

comunicaciones destinadas a los usuarios en relación con los problemas y las

recomendaciones de seguridad.

La seguridad informática de una entidad bancaria depende de que los empleados

(usuarios) y clientes estén bien informados y se capaciten. Sin embargo, la seguridad debe

ir más allá del conocimiento de los usuarios y cubrir las siguientes áreas:

Un mecanismo de seguridad física y lógica que se adapte a las

necesidades de la compañía y al uso de los empleados.

Un procedimiento para administrar las actualizaciones.

Una estrategia de realización de copias de seguridad (backup)

planificada adecuadamente.

Un plan de recuperación luego de un incidente.

Un sistema documentado actualizado.

41

2.2.2.5 Objetivos de la seguridad Informática

Los sistemas de información generalmente incluyen todos los datos de una

compañía, en el material y los recursos de software que permiten almacenar y hacer circular

estos datos. Los sistemas de información son fundamentales para las compañías y deben ser

protegidos. La seguridad informática consiste en garantizar que la información y los

recursos de software de una organización en este caso de una entidad bancaria, se usen

únicamente para los propósitos para los que fueron creados y dentro del marco previsto.

2.2.3 Servicios financieros en las entidades bancarias

El sistema financiero del país se encuentra dividido en 3 sectores como se muestra

en la ilustración:

Ilustración 17 - Composición del Sector Financiero Ecuatoriano



De acuerdo a la Superintendencia de bancos y Seguros se describe los servicios

financieros que pueden aplicar las instituciones bancarias en el Ecuador.

42

2.2.3.1 Servicios Financieros con cargo básico

N.º SERVICIOS APLICA 1 Apertura de cuentas Cuenta de ahorros, Cuenta corriente, Cuenta de integración de

capital, Depósitos a plazo, Información crediticia básica, Inversiones

2 Depósitos a cuentas Cuenta de ahorros, Cuenta corriente, Depósitos a plazo, Inversiones

universidad de guayaquil facultad de ciencias ...repositorio.ug.edu.ec › bitstream › redug ›...

Documents