Glosario

Definición de algunos de los términos más utilizados en materia de fraude.

Definiciones

Activos o ingresos exagerados:
Ver. Sobreestimación de activos o ingresos

Adware: Es cualquier programa que automáticamente va mostrando publicidad al usuario durante su instalación o durante su uso y con ello genera beneficios a sus creadores.
Aunque se asocia al malware, no tiene que serlo forzosamente, se convierte en malware en el momento en que empieza a recopilar información sobre el ordenador donde se encuentra instalado.

Agradecimientos ilegales:
Son elementos de valor dados para recompensar una decisión después de que se haya realizado. Son similares a los esquemas de soborno excepto que no es antes del hecho. Ocurre una vez tomada una decisión cuando la parte que se beneficia de la decisión le da un elemento de valor a la persona que tomó la decisión. El regalo simplemente se ofrece como agradecimiento por algo que se ha hecho.

Agujero de seguridad:
Ver Vulnerabilidad

Amenaza:
Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor. Una amenaza puede tener causas naturales, ser accidental o intencionada. Si esta circunstancia desfavorable acontece a la vez que existe una vulnerabilidad o debilidad de los sistemas o aprovechando su existencia, puede derivar en un incidente de seguridad.

Amenaza Persistente Avanzada» APT:
Amenaza orquestada por un grupo con una elevada capacidad para obtener la información que requiere, que utiliza varios vectores de intrusión y persistencia para obtener y mantener el acceso a la red de la organización y que utiliza mecanismos para evitar su detección.

Anonymous:
Grupo hacktivista

Análisis de impacto en el negocio de los sistemas de información (BIA):
Se trata de un informe que nos muestra el coste ocasionado por la interrupción de los procesos críticos de negocio. Este informe nos permitirá asignar una criticidad a los procesos de negocio, definir los objetivos de recuperación y determinar un tiempo de recuperación a cada uno de ellos.

Análisis de ratios:
El análisis de ratios es un medio para medir la relación entre dos cantidades de estados financieros diferentes. La relación y la comparación son las claves del análisis. Este análisis permite evaluaciones internas utilizando datos de estados financieros que se comparan con los promedios de la industria de la entidad. Los ratios y las comparaciones pueden ser muy útiles para detectar señales de alerta en un examen de fraude

Análisis de riesgos de fraude:
Es un proceso diseñado para identificar eventos potenciales de fraude que pueden afectar a la entidad, y administrar el riesgo para que esté dentro de su apetito por el riesgo, y para proporcionar una garantía razonable con respecto al logro de los objetivos de la entidad.
La gestión de riesgos de fraude involucra la identificación, priorización, tratamiento y monitoreo de riesgos de fraude que amenazan la capacidad de una organización de proporcionar valor a sus grupos de interés, ya sea aumentando la rentabilidad y el valor para los accionistas de una entidad con fines de lucro o logrando objetivos específicos del programa para una entidad sin fines de lucro o gubernamental. Más específicamente, la gestión de riesgos equilibra el apetito de riesgo -cuánto riesgo está dispuesta a aceptar- con la capacidad de cumplir los objetivos estratégicos, operativos, de informes y de cumplimiento de la organización

Análisis de riesgos de Sistemas de Información:
Es un proceso que comprende la identificación de activos de información, sus vulnerabilidades y las amenazas a los que se encuentran expuestos, así como la probabilidad de ocurrencia y el impacto de estas, a fin de determinar los controles adecuados para tratar el riesgo.

Análisis forense:
Consiste en un proceso de investigación para detectar toda evidencia que pueda ser presentada como prueba fehaciente en un procedimiento judicial. Para esta investigación se hace necesaria la aplicación de técnicas científicas y analíticas especializadas que permitan identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Análisis horizontal:
El análisis horizontal es una técnica para analizar el cambio porcentual en las partidas individuales de los estados financieros de un período al siguiente. El primer período en el análisis se considera el período base, y los cambios en el período posterior se calculan como un porcentaje del período baseAnálisis vertical:
Es una técnica para analizar las relaciones entre las partidas en un balance, de una cuenta de resultado, etc. expresando las cantidades como porcentajes de un valor base específico. Permite a un analista comparar entidades de diferentes tamaños más fácilmente. El análisis vertical enfatiza la relación de las partidas dentro de cada período contable y se pueden usar con promedios históricos para determinar anomalías.

Antivirus:
Es un programa informático específicamente diseñado para detectar, bloquear y eliminar código malicioso (virus, troyanos, gusanos, etc.), así como proteger los equipos de otros programas peligrosos conocidos genéricamente como malware.
La forma de actuar del antivirus parte de una base de datos que contiene parte de los códigos utilizados en la creación de virus conocidos. El programa antivirus compara el código binario de cada archivo ejecutable con esta base de datos. Además de esta técnica, se valen también de procesos de monitorización de los programas para detectar si éstos se comportan como programas maliciosos.
Es importante hacer notar que, para un correcto funcionamiento del antivirus, éste debe estar activado y actualizado en todo momento.
Sinónimo: Antimalware

Apetito al Riesgo:
Nivel de riesgo que la empresa quiere aceptar, es aquel nivel de riesgo con el que la organización se siente cómoda.

Apropiación indebida de activos:
Es la malversación de activos con animo de causar perjuicio a la organización.
Uno o más empleados (asociación colusoria) se benefician de recursos (efectivo, títulos, valores, bienes). Las apropiaciones indebidas de activos son, con mucho, los fraudes ocupacionales más frecuentes
Hay tres categorías principales de esquemas de apropiación indebida de activos.
1. Los esquemas de dinero en efectivo
2. Los desembolsos fraudulentos de efectivo
3. Los esquemas que involucran el hurto o uso indebido de inventario y otros activos no monetarios

APT28:
Grupo internacional de hackers que explotan la «Amenaza Persistente Avanzada» APT y que son responsables de importantes ataques con intrusiones, destrucción de información, difusión de datos robados, DDoS ,etc.

Ataque combinado:
Es uno de los ataques más agresivos ya que se vale de métodos y técnicas muy sofisticadas que combinan distintos virus informáticos, gusanos, troyanos y códigos maliciosos, entre otros.
Esta amenaza se caracteriza por utilizar el servidor y vulnerabilidades de Internet para iniciar, transmitir y difundir el ataque extendiéndose rápidamente y ocasionando graves daños, en su mayor parte, sin requerir intervención humana para su propagación.

Ataque con malware de minería:
Es un ataque que consiste en hacer que las computadoras de otras personas hagan el trabajo de minería. Estos hackers insertan software en sitios web, lo que significa que, sin que ellos lo sepan, las computadoras de los visitantes se ponen a trabajar en los procesos de minería de criptomonedas

Ataque de diccionario:
Ver Ataque de fuerza bruta

Ataque de fuerza bruta:
Un ataque de fuerza bruta es un procedimiento para averiguar una contraseña que consiste en probar todas las combinaciones posibles hasta encontrar la combinación correcta.
Los ataques por fuerza bruta, dado que utilizan el método de prueba y error, tardan mucho tiempo en encontrar la combinación correcta (hablamos en ocasiones de miles años), por esta razón, la fuerza bruta suele combinarse con un ataque de diccionario.

Ataque de repetición:
Es un tipo de ataque en el cual el atacante captura la información que viaja por la red, por ejemplo, un comando de autenticación que se envía a un sistema informático, para, posteriormente, enviarla de nuevo a su destinatario, sin que este note que ha sido capturada. Si el sistema informático o aplicación es vulnerable a este tipo de ataques, el sistema ejecutará el comando, como si fuera legítimo, enviando la respuesta al atacante que puede así obtener acceso al sistema.
Para protegerse de este tipo de ataques el sistema informático puede tomar medidas como usar un control de identificación de comandos, de sellado de tiempos (timestamp), etc. junto con el cifrado y la firma de los comandos con el fin de evitar que sean reutilizados.

Ataque XSS
Se trata de una vulnerabilidad existente en algunas páginas web generadas dinámicamente (en función de los datos de entrada). XSS viene del acrónimo en inglés de Secuencias de comandos en sitios cruzados (Cross-site Scripting).
Dado que los sitios web dinámicos dependen de la interacción del usuario, es posible insertar en un formulario un pequeño programa malicioso, ocultándolo entre solicitudes legítimas y hacer que éste se ejecute. Los puntos de entrada comunes incluyen buscadores, foros, blogs y todo tipo de formularios alojados en una página web.

Auditoría de seguridad
Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales en tecnologías de la información (TI) con el objetivo de identificar, enumerar y describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones, servidores o aplicaciones.

Autenticación:
Procedimiento para comprobar que alguien es quién dice ser ( por ejemplo comparando la contraseña introducida con la contraseña almacenada en la base de datos) cuando accede a un equipo, aplicación o a un servicio online. Este proceso constituye una funcionalidad característica para una comunicación segura.

Autoridad de certificación:
La Autoridad de Certificación (AC o CA, por sus siglas en inglés, Certification Authority) es una entidad de confianza cuyo objeto es garantizar la identidad de los titulares de certificados digitales y su correcta asociación a las claves de firma electrónica.

Autoridad de registro:
Es la entidad encargada de identificar de manera inequívoca a los usuarios para que, posteriormente, éstos puedan obtener certificados digitales.

Autoridad de validación:
Entidad que informa de la vigencia y validez de los certificados electrónicos creados y registrados por una Autoridad de Registro y por una Autoridad de Certificación. Asimismo, las autoridades de validación almacenan la información sobre los certificados electrónicos anulados en las listas de revocación de certificados (CRL).
Resumiendo, el proceso, cuando un cliente consulta el estado en que se encuentra un certificado electrónico a una autoridad de validación, ésta comprueba en su CRL el estado de este, contestando mediante el protocolo de transferencia de hipertexto HTTP.

Autorización:
Es la función de especificar los derechos o privilegios de acceso a los recursos en un equipo, aplicación o servicio online.

Backdoors:
Ver: Puertas traseras.

Backup:
Copia de seguridad que se realiza sobre ficheros o aplicaciones contenidas en un ordenador con la finalidad de recuperar los datos en el caso de que el sistema de información sufra daños o pérdidas accidentales de los datos almacenados.

BEC:
Business Email Compromise (Correo corporativo comprometido)
Ver. Fraude al CEO

Blanqueo de capitales:
El blanqueo de capitales consiste en ocultar o encubrir la identidad de beneficios obtenidos ilícitamente, de forma que parezcan provenir de fuentes legítimas. Normalmente, es un componente de otros delitos mucho más graves como el tráfico de drogas, robos con violencia o extorsión.

Bienes / ingresos inflados:
Ver. Sobreestimación de activos o ingresos

Bienes / ingresos infravalorados:
Ver. Subestimación de activos o ingresos

BIA
Abreviatura de «Business Impact Analysis» ver Análisis de impacto en el negocio.

Biometría
La biometría es un método de reconocimiento de personas basado en sus características fisiológicas (huellas dactilares, retinas, iris, cara, etc.) o de comportamiento (firma, forma de andar, tecleo, etc.).

Bitcoin:
Es una criptomoneda que utiliza la tecnología de blockchain. Es la pioneras y más famosa moneda digital.

Blockchain:
Es una estructura de datos en la que la información se almacena en una cadena de bloques, o blockchain, cuyo fin es evitar su modificación una vez que el dato ha sido publicado. Los bloques ordenan la información en una línea temporal enlazando cada bloque con el anterior, de manera que, gracias a técnicas criptográficas, la información contenida en un bloque solo puede ser repudiada o editada modificando todos los bloques posteriores. Esta propiedad permite su aplicación en un entorno distribuido y servir de base de datos pública con un histórico irrefutable de información.
En Blockchain, el registro de las transacciones que tienen lugar en el sistema, no están alojadas en un servidor central, sino que queda guardada en todos los nodos o usuarios de la red, pues se basa en una filosofía peer to peer.

Bomba lógica:
Es un código incrustado en un programa legítimo que está configurado para activar (o explotar) una función maliciosa cuando se cumplen ciertas condiciones

Botnet
Una botnet (abreviatura de red de bots) es un conjunto de ordenadores (denominados bots) controlados remotamente por un atacante que pueden ser utilizados en conjunto para realizar actividades maliciosas como envío de spam, ataques de DDoS, etc.

Brecha de seguridad de datos personales:
Incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

Bug:
Es un error o fallo en un programa de dispositivo o sistema de software

Bulo:
Son noticias o declaraciones falsas. Pueden ser varias las motivaciones para crear este tipo de noticias, como difundir información falsa en perjuicio de terceras personas u organismos o incitar al receptor del mensaje a su reenvío masivo o causar daños en su propio ordenador.
Sinónimo: Fake news o hoax

Caballo de Troya :
es un programa o procedimiento de comando que da la apariencia de ser útil, pero de hecho contiene código oculto malicioso.
Sinónimo Troyano

Cadena de bloques:
Ver Blockchain

Canal de denuncias:
Un canal de denuncias supone una medida esencial para la prevención y detección de fraude y además de cumplir con los requisitos que marca la ley, contribuye a impulsar el buen gobierno corporativo, crear un clima de confianza y dotar a la organización de una mayor transparencia.

Capacidad de Riesgo:
Es el nivel máximo de riesgo que la empresa puede soportar.

Cartas nigerianas
Se trata de una estafa realizada mediante una comunicación inesperada (correo electrónico carta o mensajería instantánea) en las que el remitente promete negocios muy rentables.
Sinónimo: Estafa nigeriana

Cash Larcery:
Ver: Hurto después de su registro en libros

Certificado digital
Un certificado digital es un fichero informático generado por una entidad denominada Autoridad Certificadora (CA) que asocia unos datos de identidad a una persona física, organismo o empresa confirmando de esta manera su identidad digital en Internet.

Ciberdelito
O ciberataque es el uso de Internet como medio para perpetrar actividades delictivas. Es la actividad que se realiza asistida por un sistema informático que implica una tergiversación deliberada de hechos o alteración de datos para obtener o recibir algo de valor que causa una pérdida financiera a alguna persona u organización. Como, por ejemplo, Intromisiones en redes con propósitos delictivos, Espionaje industrial, Robo de bases de datos, o de información, Robo de números de tarjetas de crédito, etcétera

Ciberterrorismo
El uso de medios tecnológicos para el empleo o amenaza de violencia, con el propósito de inducir un estado de temor en la víctima. Los fines pueden ser económicos, políticos o religiosos.

Ciberyihadismo
El ciberyihadismo sería la utilización de medios cibernéticos para desarrollar “atentados cibernéticos” sobre la base de una motivación ideológica yihadista. Como característica destacar que es una forma de ciberterrorismo, entendido como la aplicación de la violencia por medios cibernéticos (ciberataques) para producir un daño directo contra un objetivo atacado y un efecto indirecto contra una audiencia más amplia (generación del terror en la sociedad, advertencia a las instituciones estatales).

Cifrado:
Operación o función matemática utilizada en combinación con una clave que se aplica a un texto en claro y permite obtener un texto cifrado (o descifrarlo) garantizando la confidencialidad e integridad de la información contenida.

Clima en la cima:
Es el compromiso de la Alta Dirección con el comportamiento ético y su determinación de que el comportamiento no ético no va a ser tolerado.

Código de conducta:
Es un conjunto de normas y obligaciones que asumen las personas y entidades que se adscriben al mismo que tienen por finalidad determinar las normas deontológicas aplicables en el ámbito de una profesión o materia y mediante las cuales se pretende fomentar la confianza y la seguridad jurídica, así como una mejor tramitación de cualquier problema o incidencia

Cohecho
El cohecho es también conocido como soborno, y aunque en el ámbito del derecho, es un delito que consiste en sobornar a una autoridad o funcionario público mediante el ofrecimiento de una dádiva a cambio de realizar u omitir un acto inherente a su cargo. En el ámbito empresarial se utiliza en un sentido más amplio y abarca el cohecho entre particulares.
Otros nombres: Soborno, corrupción

Colusión:
Una colusión es un acuerdo entre dos o más partes que se hace de manera secreta o ilegal, engañando a otros para obtener un beneficio ilegal. La colusión en el fraude puede ser entre personas internas a la organización o entre personas internas y externas.

Confidencialidad:
La confidencialidad de la información constituye la piedra angular de la seguridad de la información. Junto con la integridad y la disponibilidad suponen las tres dimensiones de la seguridad de la información.

Conflicto de interés:
Un conflicto de interés ocurre cuando un empleado tiene un interés personal o económico no divulgado en un asunto que podría influir en su rol profesional. Son violaciones al principio legal de actuar de buena fe, con total revelación y en el mejor interés del empleador.
Existe por tanto un conflicto de interés cuando el ejercicio imparcial y objetivo de las funciones de una persona se ve comprometido por motivos relacionados con su familia, su vida sentimental, sus afinidades políticas o nacionales, sus intereses económicos o cualquier otro tipo de interés compartido.

Controles preventivos:
Son aquellos procesos manuales o automatizados que impiden que algo malo ocurra antes de que ocurra.

Controles de detección:
Son aquellos procesos manuales o automatizados que están diseñados para identificar algo malo que ya ha ocurrido.

Cookie:
Una cookie es un pequeño fichero que almacena información enviada por un sitio web y que se almacena en el equipo del usuario, de manera que el sitio web puede consultar la actividad previa del usuario.

Corrupción:
Es el uso indebido de influencia para obtener un beneficio para el actor u otra persona, en contra del deber o los derechos de los demás. Es un término utilizado para describir abusos de poder y varios tipos de actos ilícitos y de diseñados para causar alguna ventaja injusta, y puede tomar varias formas.
Según la ACFE Corrupción es el esquema de fraude por el cual un empleado abusa de su influencia en una transacción de negocios de manera tal que viola su deber para con el empleador, con el fin de obtener un beneficio directo o indirecto (por ejemplo, los esquemas que involucran el soborno o conflictos de interés).

Criptografía:
La criptografía es la técnica que consiste en cifrar un mensaje que resulta ilegible para todo aquel que no conozca el sistema mediante el cual ha sido cifrado.

Criptomonedas:
Son un tipo de dinero no regulado, digital, que se emite y por lo general se controla por sus desarrolladores, y que es utilizado y aceptado entre los miembros de una comunidad virtual determinada.

Cuentas financieras fraudulentas:
Ver. Manipulación de estados financieros

DDoS:
Ver: Denegación de Servicio

Defraudador accidental:
A pesar del acto de fraude, se considera que es una buena persona respetuosa de la ley, que en circunstancias normales nunca consideraría violar la ley ni hacer daño a los demás. Es importante comprender que el fraude ocurre en todos los niveles y cuanto más alto se encuentre dentro de una organización, mayor será la oportunidad de cometer fraude.

Denegación de Servicio (DDoS):
Se entiende como denegación de servicio, en términos de ciberataque, a un conjunto de técnicas que tienen por objetivo dejar un servidor inoperativo. Lo que se busca es sobrecargar el servidor y de esta forma impedir que los usuarios legítimos puedan utilizar los servicios prestados por el sistema informático. El ataque consiste en saturar con multitud de peticiones de servicio al servidor, hasta que éste no puede atenderlas, provocando su caída o colapso. Los atacantes envían ráfagas de peticiones (básicamente datos basura) a un objetivo que se sobrecarga con los paquetes basura y esto hace imposible que pueda gestionar nuevas conexiones y peticiones al servidor.

Deppfake:
Cuyo nombre proviene de “Deep learnig” y “fake” es la utilización de la inteligencia artificial para elaborar imágenes, audios o videos falsos pero que aparentemente son reales. En función de lo que se trata de falsificar los deepfake se clasifican en Deepface si se trata de una imagen y Deepvoice si se trata de voz.

Depredador:
A diferencia del defraudador ocasional el depredador es un estafador patológico y los actos ilegales tienden a repetirse. Los depredadores buscan organizaciones donde puedan comenzar a planificar su fraude casi inmediatamente después de ser contratados. Todo lo que el depredador busca es oportunidad, no requiere presión y no necesita racionalización. La arrogancia y una mentalidad criminal reemplazan los antecedentes de presión y racionalización del triángulo original del fraude. A pesar de las diferencias el defraudador accidental, puede convertirse en depredador. Es esencial para la investigación de fraude reconocer que los depredadores existen e identificar las características distintivas y las motivaciones del depredador

Desembolsos fraudulentos:
Se refiere a varias prácticas en las cuales los individuos malversan los fondos empresariales. El fraude de desembolso puede tomar muchas formas, pero el denominador común es el mal uso de la autoridad sobre los fondos. Entre los esquemas de desembolsos fraudulentos están los desembolsos en cajas registradoras, falsificación de cheques, esquemas de facturación, esquemas de nóminas y esquemas de reembolso de gastos entre otros.
Ver. Falsificación de cheques, Esquemas de facturación, Esquemas de nóminas y Esquemas de reembolso de gastos

Desembolsos en cajas registradoras:
En los desembolsos fraudulentos en la caja registradora el defraudador registra la devolución del efectivo. Hay dos esquemas básicos: devoluciones falsas y ventas anuladas.

Diamante del Fraude:
El diamante de fraude de cuatro lados incorpora la capacidad de un individuo: rasgos personales y habilidades que juegan un papel importante en si el fraude podrá ocurrir dada la presencia de presión, oportunidad y racionalización. Muchos fraudes no habrían ocurrido sin la persona adecuada con las capacidades adecuadas. La oportunidad abre la puerta, y el incentivo y la racionalización atraen al posible defraudador, pero el individuo debe tener la capacidad de atravesar esa apertura.

DICE:
El profesor Jason Thomas sugiere que las motivaciones de los perpetradores de fraude podrían ampliarse más adecuadamente e identificarse con el acrónimo DICE dinero, ideología, coacción y ego / derecho (MICE en inglés). El primer aspecto del triángulo de fraude (presión financiera percibida) se modifica para considerar motivadores alternativos al monetario.

Diferencias en el tiempo:
Es el registro de ingresos o gastos en períodos inapropiados. Esto se puede hacer para cambiar los ingresos o los gastos entre un período y el siguiente, aumentando o disminuyendo las ganancias según lo deseado. Esta práctica también se conoce como suavización de ingresos
Ver Manipulación de los estados financieros

Disponibilidad:
La disponibilidad es una de las tres dimensiones de la seguridad de la información y se define como la capacidad de un servicio, un sistema o una información, a ser accesible y utilizable por los usuarios o procesos autorizados cuando éstos lo requieran.
Junto con la integridad y la confidencialidad son las tres dimensiones de la seguridad de la información.

Divulgaciones inapropiadas:
Ver Salvedades omitidas

DNS:
Del inglés Domain Name Service, se refiere tanto al servicio de Nombres de Dominio de Internet, como al servidor que ofrece dicho servicio.

Doble acometida:
Consiste en la realización ilegal de una segunda derivación sin que su consumo sea medido por el equipo de medida. Se evita así que el consumo a través de ésta segunda acometida sea medido y facturado.

Egosurfing:
Vigilar que información existe en internet sobre uno mismo. Se recomienda hacerlo regularmente.

Endoso falsificado:
El endoso es una manera de transmitir el cheque a otra persona, y se hace por medio de una firma puesta en la parte de atrás del cheque. La persona que recibe el cheque endosado, puede cobrarlo o volver a endosarlo para transmitirlo. En el esquema de falsificación de cheques el endoso falsificado es uno de los mecanismos que utilizan los defraudadores para conseguir ilícitamente efectivo.

Enganches ilegales:
El enganche ilegal a la red sin contrato de suministro consiste en la conexión directa a la red de distribución en un suministro que no tiene contrato ni contador. No se mide el consumo, por lo que tampoco se factura.

Escala de fraude:
Es una de las herramientas para entender el comportamiento del defraudador y sugiere que la probabilidad de un acto fraudulento podría evaluarse mediante la evaluación de las fuerzas relativas de presión, oportunidad e integridad personal. La presión y la oportunidad son componentes del triángulo de fraude, pero la escala de fraude sustituye la racionalización por la integridad personal. Cuando las presiones situacionales y las oportunidades percibidas son altas y la integridad personal es baja, es mucho más probable que ocurra un fraude.

Esquemas de fraude de facturación:
En estos tipos de fraude se producen facturas falsas (que pueden ir acompañadas de informes de recepción falsa, órdenes de compra y autorizaciones de compra) que hacen que la empresa victima realice un desembolso fraudulento sin saberlo. Existen tres tipos principales de esquemas de facturación: facturación falsa a través de compañías ficticias o fantasmas, facturación falsa a través de proveedores no cómplice, y compras personales hechas con fondos de la compañía.

Esquemas de fraude de nóminas:
En los esquemas de fraude de nóminas, el perpetrador generalmente falsifica el fichaje (tiempo de trabajo) o altera la información en los registros de nómina y hacen que la empresa víctima realice un desembolso fraudulento sin saberlo. En estos fraude los desembolsos fraudulentos se realizan a los empleados en lugar de a terceros. En general, los esquemas de nómina se dividen en tres categorías: esquemas de empleados fantasmas, salarios falsificados, y esquemas de comisiones.

Esquemas de reembolso de gastos:
Consiste en manipular los procedimientos de reembolso de gastos de una organización para generar desembolsos fraudulentos. Los cuatro tipos más comunes de esquemas de reembolso de gastos son: clasificación fraudulenta de gastos, gastos exagerados o inflados, gastos ficticios y reembolsos múltiples

Exploit:
Secuencia de comandos utilizados para, aprovechándose de un fallo o vulnerabilidad en un sistema, provocar un comportamiento no deseado o imprevisto.

Extorsión económica:
La extorsión es la obtención de algo de otros, inducido por el uso indebido de la fuerza o el temor. La extorsión económica está presente cuando un empleado o funcionario, a través del uso indebido de la fuerza o el miedo real o amenazado, exige dinero para tomar una decisión comercial particular. Una demanda de un soborno o comisión ilegal, junto con una amenaza de acción adversa si el pago no se realiza es una extorsión

Falsas Compras online:
El fraude es tan sencillo como eficiente con webs, desplegadas por todo el mundo, que simulan ser páginas oficiales de grandes marcas mundiales, se ofrecen productos a un precio muy rebajado. Obviamente, esos productos son falsos o directamente no existen. O son webs que ofrecen otros servicios como viajes, alojamientos, alquileres, etc. a precios muy atractivos y que no se prestan o sus características no son las publicitadas.

Falsificación de Cheques:
Es un tipo de fraude en el que el falsificador toma el control físico de un cheque y se lo paga a sí mismo a través de varios métodos. La mayoría de los delitos de manipulación de cheques caen dentro de una de cuatro categorías: esquemas de falsificación, esquemas de endoso falsificado, esquemas de beneficiarios alterados y esquemas de obtención de cheques autorizados.

Falsos alquileres o ventas:
Son estafas basadas en ofrecer alquiler como es el caso de los de inmuebles con unas prestaciones muy buenas a precios que están fuera del mercado, anormalmente bajos en relación a la calidad del inmueble, su ubicación, su presencia interna, etc..
O basadas en ventas como es el caso de los automóviles de segunda mano donde lo que se ofrece a unos precios inusualmente bajos son vehículos de marca muy bien equipados.

Falsos préstamos. Pagos anticipados:
El fraude consiste en ofrecer supuestamente préstamos de dinero a bajo interés y hacer uso de la desesperación de la gente por obtener un crédito, para intentar estafar y obtener un rédito económico (pago anticipado) o para hacerse con información personal de las víctimas.

Firma electrónica:
La firma electrónica (o digital) se define como el conjunto de datos electrónicos que acompañan o que están asociados a un documento electrónico. Entre otras funciones sirve para identificar al firmante, verificar la integridad del documento firmado, garantizar el no repudio en el origen.

Fraude:
Conseguir, utilizando el engaño, un enriquecimiento ilícito a través de la apropiación indebida o del uso indebido de los recursos o activos de una
organización, gobierno ó individuo.
Implica el uso del engaño con el fin de conseguir ganancias personales o para un tercero, o bien pérdidas para otra persona o entidad (la intención es el elemento fundamental que diferencia al fraude de la irregularidad).
Según la ACFE Fraude es cualquier acción u omisión intencional diseñada para engañar a otros, con el resultado de que la víctima sufra una pérdida y/o que el perpetrador logre una ganancia.

Fraude al CEO:
También denominado BEC (Business email compromise) o EAC (Email account compromiso) en una estafa en la que los delincuentes envían un mensaje de correo electrónico (aunque también pueden utilizar mensajes de voz) que parece provenir de una fuente conocida por la víctima (habitualmente el CEO o un alto directivo) que hace una solicitud legítima de una transferencia de dinero. Cuando la víctima cae en este engaño miles o cientos de miles de euros son enviados a la cuenta de los estafadores. El motivo de la transferencia es en muchos casos un tema muy urgente y confidencia que la víctima no debe revelar a nadie.
Este tipo de fraude se aprovecha de la confianza en el correo electrónico para realizar negocios, tanto personales como profesionales. Se ha extendido por multitud de países y ha afectado tanto a grandes empresas, a pymes, a profesionales autónomos y particulares.
Es uno de los fraudes más perjudiciales desde el punto de vista financiero. En el año 2014, ya se reportaban numerosos casos y desde entonces se ha ido sofisticando dado que la investigación de la víctima es tan minuciosa que la falsificación es cada vez más difícil de detectar.

Fraude al consumidor:
Se trata de una serie de estafas al consumidor muy común en los sectores de reparación y servicios y que generalmente son cometidas por “estafadores” profesionales contra las víctimas más vulnerables. Entre los diferentes esquemas están entre otros
– Estafas con cantidades otorgadas por adelantado, (heredero perdido, becas universitarias)
– Consolidación de deudas, Servicios de crédito
– Publicidad en guías o directorios
– Falsa venta (arte, artículos raros, piedras preciosas)
– De mejora personal (Diplomas, Escuela de modelos)
– Recaudación de fondos para ONGs y religiosos
– Negocios basados en el hogar (compren materiales para embalajes, efectúen llamadas)
– Esquemas de timo y revancha (cierren el negocio y le devuelvan)
– Sorteos, loterías, obsequios y premios
– Estafas a personas mayores, desempleados
– Fraude de afinidad
– Servicios de empleo
– Vacaciones y otros esquemas de viajes
– Suscripciones a revistas

Fraude conocido públicamente:
Es la parte del fraude detectado por una organización y que ésta reporta como fraude, por lo que este fraude se conoce públicamente.

Fraude de Identidad:
Es un tipo de fraude que sucede cuando se tergiversan los datos que sustentan la identidad de una persona (como el uso de nombre, fecha de nacimiento, etc.). En muchos casos se utilizan los datos de otra persona sin su consentimiento ni conocimiento y se denomina también robo de identidad o suplantación de identidad. El fraude de Identidad se realiza para solicitar préstamos, tarjetas u otros productos y servicios. Una vez obtenido el préstamo, los servicios o producto, los defraudadores no pagan.
Ver también: Suplantación de Identidad

Fraude de solicitud:
Ver: Fraude de suscripción

Fraude de suscripción:
Es un tipo de fraude que se caracteriza por la presentación de información imprecisa, incorrecta, falsa, alterada u oculta para obtener un contrato de servicio con la intención de incumplir las obligaciones de ese contrato de una forma premeditada. Se utiliza para la solicitud de crédito, para la apertura de una cuenta, o compra de producto a plazos, alta en servicios de suministro, servicios de telecomunicaciones, etc.

Fraude del CEO:
Ver Fraude al CEO

Fraude desconocido:
Es el fraude que no es detectado por la compañía, que se perpetró o se sigue perpetrando y que todavía no ha sido investigado .

Fraude detectado:
Es el fraude que una organización ha descubierto y conoce. No es todo el fraude que sufre la organización porque una parte del fraude sufrido es desconocido. Dentro del fraude detectado esta el fraude que la organización no reporta y el conocido públicamente.

Fraude eléctrico:
Se puede definir como “la manipulación o alteración de la instalación eléctrica o del dispositivo de medida, ajena a la empresa distribuidora1, realizada por o con conocimiento del consumidor, que permite consumir energía eléctrica sin su correspondiente medida, facturación y pago”. Es, en definitiva, un “recurso ilegal que utilizan algunos consumidores para abaratar su factura eléctrica a costa del resto”, con todo lo que ello implica.

Fraude en los estados financieros:
Ver: Manipulación de estados financieros

Fraude Externo:
Es el fraude organizado y perpetrado por una o varias personas externas a la institución Entre los externos involucrados en fraude están proveedores, distribuidores, clientes, tercerizados , depredadores y crimen organizado.

Fraude Interno:
Es el fraude organizado y perpetrado por una o varias personas de dentro de la institución. Entre el personal interno están los socios, administradores, y empleados.

Fraude no reportado:
Es la parte del fraude detectado por la organización y que no se conoce públicamente porque la organización prefiere que se trate internamente y no se publique.

Fraude Ocupacional:
El uso intencional de la ocupación para el enriquecimiento personal a través del uso indebido de los recursos o activos de la organización empleadora.
Definición de la ACFE.

Fraude sintético:
Es el fraude en el que los defraudadores sintéticos crean identidades ficticias para engañar a las empresas e instituciones. Utilizan una combinación de elementos de identidad ficticia o creando una identidad ficticia mediante la combinación de múltiples elementos de identidad reales.

Fuga de Información:
La fuga de información es la pérdida de la confidencialidad de la información de forma que personal no autorizado accede a información que, a priori, no debería ser conocida. Información privada de una empresa o de sus clientes que no debía ser conocida más que por un grupo de personas, en el ámbito de una organización, área o actividad, termina siendo visible o accesible para otros terceros.

Gusano:
Es un programa informático malintencionado que se autorreplica y que penetra en los sistemas operativos para propagar códigos maliciosos a otros equipos informáticos

Hacking de mercados de intercambio:
Es un ataque a las empresas de intercambio de moneda digital que consiste en hacerse a través de transacciones ilícitas con las criptomonedas.

Hacktivismo:
Acrónimo de hacker y activismo. Por hacktivismo se entiende la utilización de herramientas digitales ilegales o legalmente ambiguas persiguiendo fines reivindicativos.

Hurto antes de su registro:
Es la apropiación de efectivo de una entidad víctima antes de su entrada en el sistema contable. Normalmente son empleados que realizan ventas en efectivo que no registran o que reciben efectivo de cuentas por cobrar y no lo registran. Es un hurto antes de que se registren en los libros de la compañía. Los esquemas de hurto antes de su registro o skimming se conocen como fraudes no contabilizados, es decir, se produce el hurto antes de registrarse en las cuentas de la organización víctima. Es uno de los esquemas de apropiación indebida de dinero en efectivo
Ver. Skimming

Hurto antes de su registro. Mecanismos en cuentas por cobrar:
El fraude consiste en recibir el efectivo del cliente por las deudas y que aparece en las cuentas por cobrar, pero en lugar de registrar el pago y cancelar la cuenta quedarse con el dinero y no registrar el pago. En general, es más difícil ocultar el hurto de cuentas por cobrar que de las ventas porque en los libros aparecen las cuentas por cobrar. Cuando las ventas no registradas se retiran, es como si la venta nunca hubiera existido, pero en el caso de cuentas por cobrar la organización víctima sabe que el cliente debe dinero y está esperando el pago y aparece en los libros como una cuenta morosa. Por eso el defraudador para ocultar una cuenta por cobrar que ha retirado, debe de alguna manera dar cuenta del pago que se debió a la compañía pero que ésta nunca recibió. Hay una serie de técnicas comunes que utilizan los defraudadores para ocultar el hurto de cuentas por cobrar.
Otros nombres: (Skimming Receivables)

Hurto después de su registro:
Es la apropiación intencionada del efectivo de una organización (el término efectivo incluye tanto el dinero como los cheques) sin el consentimiento y en contra de la voluntad del empleador. El hurto en efectivo involucra dinero que ya ha aparecido en los libros de la compañía de la víctima. Es uno de los esquemas de apropiación indebida de dinero en efectivo.
Otros nombres: Cash Larcery

Identificación:
Es el acto de indicar la identidad de una persona o cosa en un dispositivo, aplicación, servicio online, etc..

Incidente de seguridad:
Cualquier suceso que afecte a la confidencialidad, integridad o disponibilidad de los activos de información de la empresa

Informática forense:
Consiste en un proceso de investigación de los sistemas de información para detectar toda evidencia que pueda ser presentada como prueba fehaciente en un procedimiento judicial. Para esta investigación se hace necesaria la aplicación de técnicas científicas y analíticas especializadas que permitan identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.

Ingeniería social:
La Ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas para obtener información, acceso o permisos en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgos o abusos. El principio que sustenta la ingeniería social es el que en cualquier sistema «los usuarios son el eslabón débil» y se basa en la confianza que muchos usuarios dan a sus interlocutores aun cuando no los conocen.

Ingresos ficticios:
Los ingresos ficticios o inventados implican el registro de ventas de bienes o servicios que no ocurrieron. Las ventas ficticias en muchos casos se realiza con clientes falsos o fantasmas, pero también pueden involucrar a clientes legítimos.
Ver. Manipulación de estados financieros

Integridad:
La Integridad es una de las tres dimensiones de la seguridad de la información y se define como la propiedad de la información, por la que se garantiza la exactitud de los datos transportados o almacenados, asegurando que no se ha producido su alteración, perdida o destrucción, ya sea de forma accidental o intencionada, por errores de software o hardware o por condiciones medioambientales.
La integridad, la disponibilidad y la confidencialidad constituyen las dimensiones claves en la seguridad de la información, ya que de un lado, se pretende evitar los accesos no autorizados a los datos, y de otro, se garantiza la no alteración de los mismos.

Intrusión en instituciones:
Las intrusiones en instituciones son incidentes de seguridad provocados por los grupos organizados de hackers o por organizaciones que se dedican a difundir información confidencial de las empresas, estados, gobiernos o programas informáticos relativos a cómo hackear.

Intrusiones políticas:
Son los ataques a las organizaciones políticas y a los candidatos que tratan de manipular con información falsa la intención de voto o alterar los resultados electorales.

Inyección SQL:
Es un tipo de ataque que se aprovecha de una vulnerabilidad en la validación de los contenidos introducidos en un formulario web y que puede permitir la obtención de forma ilegítima de los datos almacenados en la base de datos del sitio web, entre ellos las credenciales de acceso.

Jineteo de fondos:
El jineteo consiste en la apropiación temporal de fondos de la entidad, por parte de alguien que los maneje, para usarlos en beneficio propio a modo de «préstamo temporal no autorizado». Es otro esquema de hurto antes del registro o el hurto a corto plazo (Short-Term Skimming) y consiste en el retraso en el deposito y contabilización de recaudaciones en efectivo (jineteo). El defraudador guarda el dinero retirado solo por un tiempo breve antes de pasar el pago a su empleador. En este esquema el hurto del pago entrante habitualmente se coloca en una cuenta que devenga intereses o en una inversión a corto plazo o se utiliza para pagar prestamos concedidos. Se ganan los intereses sobre los pagos mientras permanecen bajo su control.
Otros nombres: Short-Term Skimming

KYC Know your Costumbre:
KYC o Conoce a tu cliente involucra una serie de acciones, normas y técnicas que permiten cumplir con los principios de la lucha contra el lavado de activos y otras prácticas delictivas de las que son víctimas los ecosistemas del sector financiero.
Ver. Blanqueo de capitales

Keylogger:
Ver: Registradores de tecleo.

Lavado de dinero:
Ver. Blanqueo de capitales

Lapping:
Ver: Traslado Esquemas de

Malware:
Es un término genérico para cualquier tipo de programa o archivo dañino para el sistema informático”.

Malware de minería:
Ver Ataque con malware de minería

Manipulación de estados financieros:
Es la representación falsa o tergiversación deliberada de la condición financiera de una empresa realizada a través de la distorsión intencional u omisión de cantidades o revelaciones en los estados financieros para engañar a los usuarios de los estados financieros.
Sinónimo: Fraude en los estados financieros,

Manipulación del equipo de medida (contador):
Alteración, ajena a la empresa distribuidora, de algún elemento interno o externo del equipo de medida con el fin de modificar el registro de consumos.
Ver Fraude suministros (utilities),

MICE:
Ver DICE

Minería:
En el entorno de blockchain y las criptomonedas es el proceso por el que se crean monedas digitales nuevas mediante la resolución de complejos problemas matemáticos.

NFT:
NFT es un acrónimo de Non-Fungible Token, que en español quiere decir token no fungible. Se utiliza para un bien digital (token) no fungible, es decir, que no puede ser intercambiado por algo equivalente.
Se trata de un contrato cuyas reglas están definidas por un código informático, que puede atribuirse a un objeto virtual o real. Estas reglas pueden limitar el número de ejemplares disponibles para la venta, autorizar una “reedición” u organizar un sistema de derechos para retribuir al autor de una obra por cada transacción.

Oportunidad Percibida:
Es un de los componentes del Triángulo del fraude. Los componentes de la oportunidad son:
– La información general, es simplemente el conocimiento de que la posición de confianza del empleado puede ser violada.
– Habilidad técnica, se refiere a habilidades necesarias para cometer la violación.
– La oportunidad define el método por el cual se cometerá el ilícito, poder usar la posición de confianza, con baja percepción del riesgo de ser descubierto. El defraudador, no sólo será capaz cometer el delito, también tiene que ser capaz de ocultarlo.

«Otro» Triángulo de Fraude, El:
Debido a que el triángulo de fraude original carece de criterios objetivos para identificar la presión y la racionalización, muchos expertos se refieren a un segundo triángulo de fraude. El “otro” triángulo consiste en el acto, la ocultación y la conversión. Este triángulo se enfoca en probar que el acto constituye fraude reuniendo evidencia de la intención de engañar (es decir, ocultación) y daños económicos de la víctima (es decir, conversión).
2.16 P

Pasivos y gastos subestimados:
Ver. Subestimación de pasivos y gastos

Pasivos y gastos ocultos:
Subestimar los pasivos y los gastos es una de las maneras en que los estados financieros pueden ser manipulados para hacer que una empresa parezca más rentable de lo que realmente es. El método preferido y más fácil de ocultar pasivos o gastos es simplemente no registrarlos también se utiliza el capitalizar los costes y depreciarlos durante varios años en lugar de considerarlos gastos.
Ver. Subestimación de pasivos y gastos

Pharming:
Ataque informático que aprovecha una vulnerabilidad del software de los servidores DNS y que consiste en modificar o sustituir el archivo del servidor de nombres de dominio cambiando la dirección IP legítima de una entidad. Cuando el usuario escribe el nombre de dominio, el navegador redirigirá a una dirección IP donde se aloja una web falsa que suplantará la identidad legítima de la entidad. De esta forma se obtiene de forma ilícita las claves de acceso de los clientes.

Phising:
Los esquemas de phishing se producen cuando un estafador engaña (normalmente por e-mail) a las víctimas para que proporcionen información confidencial al afirmar falsamente que provienen de un negocio real, banco, ISP u otra entidad con la que el objetivo hace negocios. Mandan mensajes alarmantes para general urgencia y desconcierto y que la víctima no tenga tiempo a comprobar la veracidad del mensaje. En los mensajes se solicitan directamente los datos personales o se redirige a una página web con el mismo fin. También pueden incluir virus para infectar el dispositivo dela víctima y acceder a toda la información.

Piratería informática:
La piratería se refiere en general al ataque a un equipo para obtener acceso no autorizado al sistema informático.

Plan de Contingencia:
Un Plan de Contingencia de las Tecnologías de la Información y las Comunicaciones (TIC) consiste en un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración ordenada, progresiva y ágil de los sistemas de información que soportan los procesos de negocio considerados críticos en el Plan de Continuidad de Negocio de la compañía.

Plan de Continuidad de Negocio:
Un Plan de Continuidad de Negocio es un conjunto formado por planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos de una compañía.

Ponzi:
Ver. Esquemas Ponzi o Pirámide

Presiones (‘No Compartibles’):
Uno de los componentes del Triángulo del fraude. Es lo que motiva el delito, problemas financieros inmediatos no compartibles que no es capaz de resolver por medios legítimos, así que empieza a considerar el llevar a cabo un acto ilegal. Es crucial el que el empleado crea que su problema financiero no podía compartirse con otras personas y tuviera que resolver el problema financiero en secreto. El problema financiero puede ser personal o profesional

Préstamos con pagos anticipados:
El fraude consiste en ofrecer supuestamente préstamos de dinero a bajo interés y hacer uso de la desesperación de la gente por obtener un crédito, para intentar estafar y obtener un rédito económico (pago anticipado) o para hacerse con información personal de las víctimas.

Prevaricación:
La prevaricación, o prevaricato, es un delito que consiste en que una autoridad, juez u otro servidor público dicta una resolución arbitraria en un asunto administrativo o judicial a sabiendas de que dicha resolución es injusta y contraria a la ley. Para que este delito sea punible, debe ser cometido por un servidor o juez en el ejercicio de sus competencias.

Programa de Prevención de Fraude:
Se concibe como un marco que permite asegurar de forma razonable que los riesgos de comisión de fraude que afectan a la Sociedad estén adecuadamente identificados, documentados, valorados, controlados y mitigados, y que todo ello se mantiene debidamente actualizado.

Puertas traseras. (Backdoor):
Son cualquier código de programación o punto débil de un programa o sistema mediante el cual se puede acceder a un sistema sin permiso.

Punto de pago sospechoso:
En los esquemas de corrupción es desde donde los fondos se generan y se puede encontrar contabilizado

Punto de recepción:
En los esquemas de corrupción es donde se depositan, gastan, invierten los fondos y no estan contabilizados.

Racionalización:
Es un de los componentes del Triángulo del fraude. La racionalización no es un medio ex post facto de justificar un robo que ya ha ocurrido. Es necesaria antes de que el crimen tenga lugar. El defraudador tiene que poder hacer entendible su comportamiento ilegal y mantener su concepto de sí mismo como persona de confianza. La racionalización le permite considerar el comportamiento ilegal como aceptable.

Ransomware:
El Ransomware es una forma de malware que bloquea los datos de los sistemas informáticos objetivo de forma que los usuarios legítimos no pueden acceder a ellos. El ciberdelincuente toma control del equipo infectado y «secuestra» la información del usuario cifrándola, de tal forma que permanece ilegible si no se cuenta con la contraseña de descifrado. De esta forma, se extorsiona al usuario pidiéndole el pago de una cantidad de dinero “rescate” a cambio de esta contraseña para que, supuestamente, pueda recuperar sus datos descifrando de nuevo la información.

Ratio de liquidez.- Fondo de maniobra:
(Activo corriente/pasivo corriente).
La capacidad de la empresa para hacer frente al pago de sus deudas que vencen a corto plazo. Al detectar el fraude, esta relación puede ser un indicador principal. La malversación hará que la relación disminuya, y la manipulación de los estados financieros causará habitualmente una proporción más favorable.

Ratio de tesorería o coeficiente de liquidez inmediata- RT
RT= Activo disponible (tesorería e inversiones financieras temporales) + Realizable / Pasivo corriente .
Mide las posibilidades de hacer frente a las obligaciones de pago a corto plazo. Su valor óptimo se sitúa entre 0,1 y 0,3. Por encima de 0,3 se puede producir un exceso de liquidez de la empresa, que afecta a su rentabilidad.

Régimen de Recompensas
Son las formas de recompensar los comportamientos opuestos al fraude: honestidad, transparencia y cooperación.

Régimen Sancionador:
Son los criterios para las sanciones de todo tipo de comportamiento fraudulento y debe especificar los comportamientos que pueden ser causa de despido.

Registradores de tecleo. Keylogger
Es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet

Revelaciones inapropiadas
Ver Salvedades omitidas

Riesgo inherente:
Es aquel riesgo al que está expuesta toda organización ante la ausencia total de controles. Los riesgos que están presentes antes de la acción de la gestión de riesgos.

Riesgo residual:
Es aquel riesgo que queda en la organización una vez aplicados todos los controles.Los riesgos que quedan después de la acción de la gestión de riesgos.

Robo de identidad:
Ver: Suplantación de identidad

Rootkit:
Colección de programas que permiten el acceso de nivel de administrador a una computadora o red informática, lo que permite al atacante obtener acceso root o privilegiado a la computadora y posiblemente a otras máquinas en la misma red.

Salvedades omitidas:
Los estados financieros deben incluir todas las revelaciones y cualquier información requerida para evitar engañar a posibles inversionistas, acreedores o cualquier otro usuario de los estados financieros. Se tiene la obligación de revelar toda la información significativa (material) de manera apropiada en los estados financieros. Además, la información divulgada no debe ser engañosa. Las divulgaciones inadecuadas que resultan en fraudes de estados financieros generalmente involucran lo siguiente: Omisiones de responsabilidad, Eventos posteriores, Fraude de gestión, Transacciones con partes relacionadas, Cambios contables
Ver. Manipulación de estados financieros

Scareware:
Es un software antivirus falso que pretende escanear y encontrar amenazas de malware / seguridad en el dispositivo de un usuario para que paguen por su eliminación.

SGSI:
Un Sistema de Gestión de la seguridad de la Información (SGSI) es un conjunto de políticas de seguridad de la información que siguen la norma ISO/IEC 27001.
Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

SIM Swapping:
Consiste en hacer un duplicado de tu tarjeta SIM con el fin de suplantarte la identidad y tener acceso a todo lo que tengas guardado en tu teléfono móvil..

Skimming:
Ver. Hurto antes de su registro

Skimming Receivables:
Ver. Hurto antes de su registro. Mecanismos en cuentas por cobrar

Smishing:
Es un tipo de phising en el que ciberestafador envía sms, mensajes por WhatsApp o por otras aplicaciones de mensajería instantánea. Al igual que en el phising, se sirven de excusas contado urgente para captar la atención. También incluyen enlace s a webs falsas donde solicitan información confidencial como datos de la tarjeta de crédito, claves de acceso o de confirmación de compras entre otros.

Sniffer:
Es un programa que monitorea el tráfico en áreas de una red y busca paquetes de datos a medida que pasan por la red con el objetivo de capturar información.

Sobreestimación de activos o ingresos:
Uno de los esquemas de manipulación de los estados financieros para reflejar una falsa fortaleza financiera mediante la inclusión de activos ficticios o ingresos artificiales.
Ver. Manipulación de estados financieros

Sobreestimación de pasivos y gastos:
Uno de los esquemas de manipulación de los estados financieros para reflejar una peor situación financiera a través de la inclusión de gastos u obligaciones financieras.
Ver. Manipulación de estados financieros

Soborno:
El soborno puede definirse como la oferta, la entrega, la recepción o la solicitud de cualquier cosa de valor para influir en un acto oficial o una decisión comercial. Existen dos tipos:
El soborno público se refiere a la corrupción de un funcionario público para influir en un acto oficial de la Administración, son pagos realizados para influir en las decisiones de funcionarios del gobierno y
El soborno comercial que se refiere a la corrupción de un particular para obtener una ventaja comercial, en este caso se ofrece algo de valor para influir en una decisión de negocio
Otros nombres: Cohecho

Spyware o software espía:
Es todo aquel software que se usa para recoger y enviar información sobre los usuarios de los sistemas informáticos sin su conocimiento o consentimiento

Stuxnet:
El primer caso de ataque que se traslada al mundo físico, es, un gusano descubierto en 2007 y que ha mutado hasta en tres variantes y que afecto a plantas nucleares.

Suavización de ingresos:
Ver Diferencia en el tiempo

Subestimación de activos o ingresos:
Uno de los esquemas de manipulación de los estados financieros para reflejar una peor situación financiera mediante la exclusión de activos o ingresos.
Ver. Manipulación de estados financieros

Subestimación de pasivos y gastos:
Uno de los esquemas de manipulación de los estados financieros para reflejar una falsa fortaleza financiera a través de la exclusión de gastos u obligaciones financieras o su subestimación.
Ver. Manipulación de estados financieros

Suplantación de identidad:
Consiste en la utilización por terceras personas de los datos identificativos de los verdaderos titulares de los mismos. Comienza con la obtención de manera ilícita de los datos personales de un tercero y generalmente se lleva a cabo para obtener un beneficio económico o llevar a cabo actividades delictivas en nombre de otra persona.
Ver también: Fraude de Identidad

Tone at the top:
Ver. Clima en la cima

Tolerancia al Riesgo:
Es la desviación con respecto al nivel en el que la empresa se siente cómoda
Ver Apetito al riesgo y Capacidad de Riesgo

Traslado Esquema de:
Consiste en trasladar los pagos entre los clientes y es uno de los métodos más comunes para ocultar el hurto de cuentas por cobrar. El traslado (Lapping) es el abono de una cuenta a través de la extracción de dinero de otra cuenta
Otros nombres: Lapping

Triángulo de fraude:
Donald R. Cressey entrevistó a unas 200 personas que habían sido encarceladas por malversar fondos y excluyó de su investigación a los empleados que tomaron sus trabajos con el propósito de robar obteniendo las siguientes conclusiones que se conocen como la hipótesis de Cressey o el triángulo de fraude. “Las personas de confianza se convierten en violadores de esa confianza, cuando teniendo un problema financiero que no es compartible, son conscientes de que este problema puede ser resuelto en secreto violando la posición de confianza financiera que tienen, y son capaces de aplicar a su propia conducta, verbalizaciones que les permitan ajustar sus concepciones de sí mismos como personas de confianza”. El clásico triángulo de fraude ayuda a explicar la naturaleza de muchos, pero no de todos los defraudadores ocupacionales El triángulo sólo, es una herramienta inadecuada para disuadir, prevenir y detectar el fraude porque no se pueden observar dos de las características: presión y racionalización. Como resultado, se han desarrollado otros modelos de fraude para proporcionar visiones alternativas del fraude que podrían ayudar cuando el triángulo de fraude se ha quedado corto. La clave es entender que hay muchos factores que pueden motivar a las personas a cometer fraudes

Troyano:
Es un malware que se hace pasar por un programa legítimo o está incrustado en él, pero está diseñado para fines maliciosos, como espiar, robar datos, eliminar archivos, expandir una botnet y realizar ataques DDoS.

Troyano de puerta trasera / acceso remoto (RAT):
Accede a un sistema informático o dispositivo móvil de forma remota. Puede ser instalado por otra pieza de malware. Le da un control casi total al atacante, que puede realizar una amplia gama de acciones, que incluyen:
– Acciones de monitoreo
– Ejecutar comandos
– Enviando archivos y documentos al atacante
– Pulsaciones de teclas de registro
– Tomar capturas de pantalla

Uso indebido del inventario y otros activos:
Consiste en apropiarse indebidamente de un activo de la organización. El activo puede ser solo mal utilizado o puede ser hurtado.

Usuarios de los estados financieros:
Los esquemas de manipulación o fraude en los estados financieros generalmente son perpetrados por la dirección contra los usuarios potenciales de las declaraciones. Los usuarios de los estados financieros incluyen la propiedad y administración de la compañía, las organizaciones que conceden préstamos, los inversores, los organismos reguladores, los proveedores y los clientes

Valoración indebida de activos:
Es la manipulación de la valoración de los activos de una empresa. Típicamente, un defraudador aumenta artificialmente las cuentas de activos para fortalecer el balance de la compañía y su estado financiero. En algunos casos, el estafador registra ingresos falsos, y los activos sobrevalorados son simplemente un subproducto de ese esquema.
Ver. Manipulación de estados financieros

Vishing:
Es un tipo de phising a través de llamadas telefónicas. Los ciberestafadores llaman suplantado a un operador y alegan algún tipo de problema o ganga para obtener todos los datos de su víctima.

Virus:
Es «un programa que puede ‘infectar’ a otros programas modificándolos para incluir una versión de sí mismo «.

 

Fuentes de Referencia para los términos de ciber delitos y seguridad:

Incibe-Glosario

Panda- Glosario